原文標題:《暴跌 90%!Solana 算法穩定幣新秀 Nirvana 被攻擊事件分析》
撰文:成都鏈安
當你第一次聽到 Nirvana 這個項目時,你的反應是不是也是這樣。
Nirvana,不就是那支享譽全球的涅槃樂隊嗎?
Nirvana,對于一個喜歡搖滾樂的樂迷來說肯定很熟悉,當然,Web3 的項目方取名字也會各種蹭,當時這個算法穩定幣協議 Nirvana 出來時,很多人也在疑惑這個項目是否和這支傳奇樂隊有關聯。
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
后來事實證明他們毫無關系。
安全公司:AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道,據區塊鏈安全審計公司Beosin EagleEye監測顯示,2022年11月23日,AurumNodePool合約遭受漏洞攻擊。
Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證,導致攻擊者可以調用該函數進行任意值設置。
攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數,接下來調用claimNodeReward函數提取節點獎勵,而節點獎勵的計算取決于攻擊者設置的rewardPerDay值,導致計算的節點獎勵非常高。而在這一筆交易之前,攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR,創建了攻擊者的節點記錄,從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]
據悉,這個有著 Solana 算法穩定幣新秀的項目,采取雙代幣系統:ANA,一種算法亞穩態代幣,用作財富存儲;由 ANA 作為抵押生成的 NIRV 代幣,是一種去中心化的超級穩定幣,用作價值存儲。
Beosin:SheepFarm項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的SheepFarm項目遭受漏洞攻擊,Beosin分析發現由于SheepFarm合約的register函數可以多次調用,導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems,再利用upgradeVillage函數在消耗gems的同時累加yield屬性,最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB,約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/16 13:10:39]
為何這個項目在今日遭受攻擊,請聽我們細細分解。
北京時間 7 月 28 日中午,成都鏈安鏈必應 - 區塊鏈安全態勢感知平臺輿情監測顯示,基于 Solana 的去中心化算法穩定幣協議 Nirvana 遭遇攻擊,其穩定幣 NIRV 價格從 1 美元一度跌至 0.09 美元,目前反彈至 0.11 美元,最大跌幅超過 90%;ANA 代幣價格從 8.9 美元一度跌至 1.5 美元,跌幅高達 85%。
我們統計資金損失時,發現項目方損失約 357 萬美元。
攻擊發生時海外正值深夜,大概項目方工作人員還在睡夢中。成都鏈安安全團隊的小伙伴,立刻跟進此事件,現將本次事件簡單分析如下。
(以下直接進入技術代碼分析狀態)
第一步,攻擊者通過調用 solend 協議的 flash loan 指令,借來了 1025WUSD,隨后調用了 Nirvana 程序中的 Buy3 指令,此時根據兌換比例可以算出此時 USD/ANA 為 8.72,兌換后價格為 24.27,此時兌換前價格 / 兌換后價格約為 1/3。
第二步,攻擊者開始進入「黑化狀態」,兩次調用 swap 指令將獲得的 ANA 兌換為 USD,價格隨后分別跌至 22.73,16.47。
第三步,成都鏈安安全團隊通過 Github 搜索關鍵字[nirkXSE28jCQoK8SmKWqxXz3L9vbSRGKS24iYJj8Aeo]相關項目,但未發現存在 buy3 指令。
第四步,被盜資金目前以通過跨鏈橋轉移到以太坊上。成都鏈安鏈必追將持續對資金地址進行分析和追蹤。
根據 Odaily 星球日報的報道,「Nirvana」目前資產缺口超過 1200 萬美元。如此龐大的財務壓力,對于一個新生項目而言,幾乎宣判了死刑。「Nirvana」要想繼續存活,也許可以效仿競品 Beanstalk Farms 進行眾籌。
好了,今天的分享就結束了,后續有動向我們將持續跟進此事件。
數據是人工智能(AI)、生物技術、金融技術(fintech)、消費者零售業等領域的無價資產。2017年,《經濟學人》稱“世界上最有價值的資源不再是石油,而是數據”,并報告稱,2017年第一季度,
1900/1/1 0:00:00北京時間2022年7月17日,CertiK安全團隊監測到知名NFT平臺Premint NFT官網被入侵后于今日遭受黑客攻擊。導致了約37.5萬美元的損失.
1900/1/1 0:00:00IT之家?7 月 20 日消息,英特爾銳炫 Arc 獨立顯卡的當前驅動程序針對新游戲進行了優化,此外還有一個好消息,英特爾獨顯暫不支持挖礦.
1900/1/1 0:00:007月21日,《我的世界》(Minecraft) 在使用指南的更新中,宣布禁止《我的世界》客戶端和服務器應用程序集成區塊鏈技術,并且不能用于創建與任何游戲內容相關的NFT.
1900/1/1 0:00:00體育賽事IP進軍元宇宙領域,又近了一步。上周二的時候,馬德里競技足球俱樂部與數字資產平臺Amber Group達成官方合作協議,Amber Group旗下的元宇宙平臺WhaleFin成為了馬德里.
1900/1/1 0:00:00全文 7050 字,預計閱讀時間 17 分鐘跨鏈橋的存在其實是基于對未來出現多鏈生態格局的核心假設,跨鏈橋存在意義在于推動資產以及信息在不同區塊鏈上流動.
1900/1/1 0:00:00