比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > PEPE幣 > Info

ABU:Zabu Finance閃電貸安全事件分析

Author:

Time:1900/1/1 0:00:00

前言

9月12日,知道創宇區塊鏈安全實驗室 監測到 Avalanche 上的 DeFi 協議  Zabu Finance 項目遭受閃電貸攻擊。實驗室第一時間跟蹤本次事件并分析。

涉及對象

攻擊合約

攻擊合約1:

0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400

攻擊合約2:

參議員Elizabeth Warren敦促美國國會和SEC加強加密監管:金色財經報道,在幾家加密公司申請破產保護后,美國參議員Elizabeth Warren表達了對加密貨幣投資的擔憂,并敦促美國國會和證券交易委員會(SEC)采取行動,加強加密監管。沃倫表示,需要制定更加強有力的規則來確保消費者保護和金融穩定。[2022/7/19 2:23:39]

0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd

ZABUFarm:

0xf61b4f980a1f34b55bbf3b2ef28213efcc6248c4

GAMEE Bozena Rezab:區塊鏈游戲仍應關注游戲本身屬性:據官方消息,9月23日,GAMEE CEO&聯合創始人Bozena Rezab在《HyperPay 焦點》第21期,主題為“《走進元宇宙》系列:揭秘鏈游和NFT熱潮背后的‘幕后推手’”專場AMA中提到:元宇宙是一種現實體驗(experiential reality),其中一種體驗是參與游戲。隨著區塊鏈游戲的普及,應該期待新的游戲經濟和游戲類型的出現。但是在利用區塊鏈技術塑造游戲的未來時,不應該忽視游戲的核心吸引力是玩法而非技術。[2021/9/23 17:01:13]

SPORE:

推特CEO取關Elizabeth Warren:推特CEO Jack Dorsey已經取關Elizabeth Warren。據悉,Elizabeth Warren曾在2020年競選美國總統,目前是美國民主黨、馬薩諸塞州參議員,也是美國政界自由派的重要代表人物之一。她在今日的Bloomberg TV中表示加密貨幣需要更多監管。在本周三的參議院銀行委員會聽證會中,美國立法者們本來要討論CBDC,但是關于比特幣的話題引起了不少立法者的關注,該經濟政策小組委員會很可能會就加密貨幣召開進一步的聽證會,而Elizabeth Warren就是小組委員會的主席。[2021/6/10 23:26:53]

0x6e7f5c0b9f4432716bdd0a77a3601291b9d9e985

聲音 | Nick Szabo:層級組織的區塊鏈項目總處于中心化狀態:智能合約之父Nick Szabo今日表示:“我發現那些由層級組織(比如由風投投資的公司)推出的區塊鏈項目總會處于中心化的狀態中,這會破壞區塊鏈的中心價值,即信任最小化。”[2018/7/20]

漏洞成因分析

漏洞產生原因在于 Defi 協議與代幣協議之間的不兼容,其不兼容主要是 zabuFarm 合約質押功能與 spore 合約轉賬功能出現沖突,下面從雙方功能實現邏輯來分析沖突。

zabuFarm合約質押功能

zabuFarm 合約質押功能由函數 deposit 實現

簡述 deposit 函數實現邏輯:

1.由傳參_pid 獲取對應礦池信息與用戶信息

2.更新_pid 對應礦池信息,當用戶賬戶不為 0 向用戶發送質押已產生獎勵

3.將傳參_amount 數量的代幣從函數調用者轉移到該合約

4.更新用戶添加的代幣以及最新獎勵狀態

5.觸發質押事件

spore合約轉賬功能

spore 合約轉賬功能由函數_transferStandard 實現(ps:_transferStandard 函數是 zabuFarm 合約質押功能轉賬時調用的函數)

簡述_transferStandard 函數實現邏輯:

1.由傳參 tAmount 通過_getValues 函數獲取五個值,分別是 rAmount 實際轉賬數量, rTransferAmount 收費后轉賬數量, rFee 實際費用,tTransferAmount 初始轉賬數量,tFee 初始費用

2.對相應賬戶進行實際轉賬代幣數量更新

3.通過_reflectFee 函數進行費用記錄更新

由此我們可以發現 zabuFarm 合約質押功能與 spore 合約轉賬功能出現沖突的本質在于 deposit 函數僅是對用戶傳入轉賬金額_amount 做用戶賬戶更新記錄,而不是對_transferStandard 函數在收取費用后實際轉賬做用戶賬戶更新記錄,導致實際收款小于賬戶記錄,俗稱虧本買賣。

簡述攻擊過程

1.利用攻擊合約1 0x0e65,將 WAVAX 代幣通過 Pangolin 置換成 SPORE 代幣,并質押到 ZABUFarm 合約中;

2.通過攻擊合約2 0x5c9A 從 Pangolin 閃電貸借出 SPORE 代幣,并利用 SPORE 代幣不斷在 ZABUFarm 合約進行質押-提現的操作,消耗原本屬于ZABUFarm 合約的SPORE 代幣,由于 ZABUFarm 合約是通過 SPORE 代幣總量計算獎勵,攻擊合約1 0x0e65 會獲得巨額 ZABU 代幣獎勵;

3.最后取出質押 SPORE 代幣,歸還閃電貸,拋售 ZABU 代幣獲利。

總結

此次攻擊屬于 defi 協議與代幣協議之間不兼容導致的,迄今為止此類攻擊事件已發生數次,知道創宇區塊鏈安全實驗室再次提醒,近期各鏈上頻頻爆發攻擊事件,合約安全愈發需要得到迫切重視,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:ABUSPORESPOORESHIBSHABUSPORE價格SPORTSAIWorldcore

PEPE幣
LOON:Loon生態的DeFi之路

(麥田,梵高) 2019年加密領域最亮眼的發展是什么?毫無疑問是DeFi。盡管DeFi還處于非常初級的階段,但它已經向人們展示了其潛力。它是加密領域,除數字貨幣應用之外,第二個走出來的落地場景.

1900/1/1 0:00:00
BAL:緊隨Uniswap、SushiSwap其后 即將發布的Balancer V2未來可期

自動化做市商Balancer今天宣布了其廣受期待的去中心化交易協議的V2版本,該版本以“安全性、靈活性、資金效率和gas效率”為核心進行了一系列升級.

1900/1/1 0:00:00
DEF:DeFi被動收入初學者指南:收益耕作類型及利弊

收益耕作(Yield Farming)是人們通過向DeFi流動性池或抵押池提供流動性,即加密貨幣存款,從而獲得被動收入的一種方式.

1900/1/1 0:00:00
DEFI:成都鏈安:“黑色5月” 本月發生典型安全事件超32起

2021年5月盤點 據成都鏈安【鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)】安全輿情監控數據顯示:2021年5月,據不完全統計,整個區塊鏈生態發生的典型安全事件超32起.

1900/1/1 0:00:00
區塊鏈:淺析質押機制的發展和未來發展機會

質押是加密貨幣代幣設計中的一個常見元素。但是,經典意義上的質押起源于保障權益證明(PoS)區塊鏈的安全,而不是將代幣功能嵌入到運行在其上的應用程序中.

1900/1/1 0:00:00
ECO:3月21-30日 HECO每日快訊

致力于挖掘Heco公鏈潛力項目,促進Heco生態繁榮。共同抵制無審計、合約代碼無開源的、虛假宣傳項目,維護良好Heco生態環境。對于故意宣傳抹黑友商項目、Heco品牌的讀者還請多擔待.

1900/1/1 0:00:00
ads