比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 波場 > Info

UNI:"單一價值"——Indexed Finance閃電貸安全事件分析

Author:

Time:1900/1/1 0:00:00

安全實驗室監測到以太坊上的DeFi協議IndexedFinance遭遇閃電貸襲擊,損失超1600萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。攻擊過程簡述

分析攻擊交易:

0x44aad3b853866468161735496a5d9cc961ce5aa872924c5d78673076b1cd95aa

首先使用閃電貸通過Uniswap和ShushiSwap獲取啟動資金

2.通過借貸的AAVE/COMP/CRV/MKR/SNX代幣兌換礦池DEFI5中的UNI代幣(合約規定不允許轉賬超過礦池一半的代幣存量以及兌換超過三分之一的代幣存量,所以黑客進行了多次兌換)

Popcorn項目Discord服務器遭入侵:金色財經報道,據CertiK官方推特發布消息稱,Popcorn項目Discord服務器遭入侵,有黑客發布釣魚鏈接。請用戶勿與相關鏈接交互,[2023/6/21 21:51:16]

3.通過將UNI代幣用于添加流動性鑄造DEFI5LP代幣

4.向DEFI5礦池添加SUSHI代幣

5.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣

CABEI總裁:薩爾瓦多對比特幣的風險敞口很小,并不重要:金色財經報道,中美洲經濟合作銀行(CABEI)總裁Dante Mossi表示,薩爾瓦多對加密貨幣(包括比特幣)的敞口很小。據悉,預計薩爾瓦多將在下周償還一筆債券,大部分資金將由該銀行提供。Mossi稱,我們已經看到了這種風險敞口,我們認為它非常小,并不重要。我們希望投資者也能了解薩爾瓦多的真實情況。”CABEI本月早些時候提供了4.5億美元貸款。

Mossi還表示,預計國際貨幣基金組織(IMF)將執行其所謂的第四條任務,即為薩爾瓦多提供宏觀經濟評估和建議。CABEI正在與薩爾瓦多政府合作,收集有關債務可持續性的信息,預計將包括對加密貨幣的披露,以供IMF審查。(彭博社)[2023/1/21 11:25:12]

6.通過將SUSHI代幣用于添加流動性鑄造DEFI5LP代幣

8月比特幣挖礦總收入6.38億美元,環比上升6%:金色財經消息,據The Block Research數據,8月比特幣挖礦總收入為6.38億美元,較7月份的5.97億美元上升6%。[2022/9/1 13:02:29]

7.燃燒DEFI5LP代幣獲得AAVE/COMP/CRV/MKR/SNX/SUSHI代幣

8.歸還閃電貸并將獲利轉移

漏洞成因分析

通過攻擊簡述獲取有效信息

1.黑客有意控制礦池中UNI代幣總量

2.黑客向礦池中添加了新代幣SHSHI

3.黑客通過鑄造、燃燒LP代幣獲利

通過源碼分析漏洞成因

1.檢查源碼發現函數extrapolatePoolValueFromToken被用于尋找礦池中第一個初始化且具有權重的代幣,據官方解釋該函數作用于以該代幣描述整個礦池的價值——即如果礦池中有10個UNI,權重為10%,那么該礦池總價值為100UNI。

由此黑客控制礦池中UNI代幣總量得到解釋,該行為是為了控制礦池總價值。

2.檢查源碼發現函數setMinimumBalance和函數gulp可以添加新代幣并獲得極大的權重。?由此黑客向礦池添加新代幣SUSHI得到解釋,該行為是為了獲得可控且具有極大權重的代幣。

綜合分析

合約設計中礦池的總價值被礦池中第一個初始化且具有權重的代幣用來描述,該代幣總量可被攻擊者控制

合約中可添加新代幣,新代幣可占據極大權重,添加新代幣方式可被攻擊者控制

合約中的資產可通過鑄造、燃燒LP代幣控制,鑄造LP代幣方式可被攻擊者控制

綜述該漏洞成因就是用一種代幣來描述整個礦池的價值,官方也給出了修改方案:取消該模式替換為用礦池中所有代幣余額的組合值來描述。

總結

此次攻擊屬于對礦池價值的單一描述,很容易被他人操控,開發人員應避免此類事件。

知道創宇區塊鏈安全實驗室?提醒各項目方,合約安全作為直接保障資金的防線需要得到最高的重視,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:UNIDEFEFIDEFIunisat怎么玩99DEFIXDEFIModefi

波場
UMA:ZT創新板即將上線KUMA

親愛的ZT用戶: ZT創新板即將上線KUMA,並開啟KUMA/USDT交易對。具體上線時間如下:充值:已開啟;交易:2021年10月23日16:30; KUMA ZT創新板4月17日開放KT/U.

1900/1/1 0:00:00
FACE:Facebook將從第四季度開始公布增強/虛擬現實部門業績

據Coindesk10月26日消息,Facebook在第三季度財報中表示將從第四季度開始公布增強/虛擬現實部門的業績,這凸顯了該公司構建元宇宙的雄心.

1900/1/1 0:00:00
KUS:波卡生態一周觀察丨Kusama開啟穩定的拍賣節奏,超1800萬DOT將用于建設波卡生態

Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.

1900/1/1 0:00:00
NFT:因電力短缺,哈薩克斯坦開始針對加密挖礦業務開啟限電措施

據Neftegaz.RU10月21日消息,哈薩克斯坦國家電網運營商已經開始限制對該國最大的消費者——加密礦工進行電力配給.

1900/1/1 0:00:00
BTC:BTCST 交易挑戰賽,贏150,000美元大獎

活動時間:2021年10月26日上午08:00至2021年11月02日上午07:59點擊按鈕,立刻參與活動活動一:新用戶專屬福利:交易BTCST,瓜分20.

1900/1/1 0:00:00
DEX:一文讀懂“混合流動性”交易所「IDEX」

「x*y=k」。 從某種意義上說,這可能是過去一、兩年間加密貨幣市場上最重要的一個數學模型——基于該公式及其各種變體而開發出的自動做市型去中心化交易所在這場DeFi浪潮中發揮了厥功至偉的作用.

1900/1/1 0:00:00
ads