比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 聚幣 > Info

USD:慢霧:Harvest.Finance 被黑事件簡析

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧安全團隊分析,HarvestFinance項目遭受閃電貸攻擊事件主要分為以下幾步:1.攻擊者通過Tornado.cash轉入20ETH作為后續攻擊手續費;2.攻擊者通過UniswapV2閃電貸借出巨額USDC與USDT;3.攻擊者先通過Curve的exchange_underlying函數將USDT換成USDC,此時CurveyUSDC池中的investedUnderlyingBalance將相對應的變小4.隨后攻擊者通過Harvest的deposit將巨額USDC充值進Vault中,充值的同時Harvest的Vault將鑄出fUSDC;5.之后再通過Curve把USDC換成USDT將失衡的價格拉回正常;6.最后只需要把fUSDC歸還給Vault即可獲得比充值時更多的USDC;7.隨后攻擊者開始重復此過程持續獲利。慢霧區總結稱,此次攻擊主要是HarvestFinance的fToken(fUSDC、fUSDT...)在鑄幣時采用的是Curvey池中的報價(即使用Curve作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制HarvestFinance中fToken的鑄幣數量,從而使攻擊者有利可圖。

慢霧:NEXT空投領取資格檢查通過默克爾證明進行,沒有資格領取空投的用戶無法繞過檢查領取他人空投:金色財經報道,據慢霧區情報,有部分賬戶的NEXT代幣被claim到非預期的地址,慢霧安全團隊跟進分析后分享簡析如下:

用戶可以通過NEXTDistributor合約的claimBySignature函數領取NEXT代幣。其中存在recipient與beneficiary角色,recipient角色用于接收claim的NEXT代幣,beneficiary角色是有資格領取NEXT代幣的地址,其在Connext協議公布空投資格時就已經確定。

在用戶進行NEXT代幣claim時,合約會進行兩次檢查:一是檢查beneficiary角色的簽名,二是檢查beneficiary角色是否有資格領取空投。在進行第一次檢查時其會檢查用戶傳入的recipient是否是由beneficiary角色進行簽名,因此隨意傳入recipient地址在未經過beneficiary簽名的情況下是無法通過檢查的。如果指定一個beneficiary地址進行構造簽名即使可以通過簽名檢查,但卻無法通過第二個對空投領取資格的檢查。

空投領取資格檢查是通過默克爾證明進行檢查的,其證明應由Connext協議官方生成,因此沒有資格領取空投的用戶是無法繞過檢查領取他人的空投的。[2023/9/5 13:19:43]

慢霧:警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道,近期,慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試,通過一個如圖這樣的“Root 簽名”即可以極低成本(特指“零元購”)釣走目標用戶在 Blur 平臺授權的所有 NFT,Blur 平臺的這個“Root 簽名”格式類似“盲簽”,用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕,當發現來非 Blur 官方域名(blur.io)的“Root 簽名”,一定要拒絕,避免潛在的資產損失。[2023/3/7 12:46:39]

聲音 | 慢霧:警惕“假充值”攻擊:慢霧分析預警,如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷,可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS,而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生,但需要注意的是:EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似,更多責任應該屬于平臺方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平臺方如果對自己的充值校驗沒有十足把握,應盡快暫停 EOS 充提,并對賬自查。[2019/3/12]

Tags:USDNEXNEXTSDCUUSD價格NEXMNext Generation Networksdcoin幣交易所

聚幣
比特幣:分析:DeFi激勵枯竭,以太坊DEX交易量墜崖式下跌

據Decrypt消息,基于以太坊的DEX交易量在過去一個月出現“墜崖式”下跌。根據DuneAnalytics的數據,過去30天的交易量下降41%.

1900/1/1 0:00:00
區塊鏈:首個區塊鏈服務網絡BSN官方展廳在杭州市下城區建成并開放參觀

2020年10月22日,首家區塊鏈服務網絡BSN官方展廳在杭州市下城區落成,并正式對外展出。區塊鏈服務網絡BSN官方展廳是由區塊鏈服務網絡發展聯盟、中國移動通信集團浙江有限公司杭州分公司、杭州市.

1900/1/1 0:00:00
以太坊:2021年 很可能是以太坊的“高光之年”

2019年11月,灰度比特幣信托首次向SEC申請注冊,并在今年1月正式通過,成為首個符合美國證券交易委員會標準的數字資產工具.

1900/1/1 0:00:00
GAT:Gate.io 已經完成當日為用戶轉化分發1.3萬枚FIL代幣公告

Gate.io今日已經根據用戶FIL6持倉情況完成FIL分發,總計約1.3萬枚,用戶可在賬戶賬單明細中查看詳情.

1900/1/1 0:00:00
加密貨幣:俄羅斯中央銀行行長:2021年底可能實現數字盧布

俄羅斯中央銀行行長埃爾維拉·納比利納周五表示,稱在俄羅斯引入CBDC的前景“非常真實”,俄羅斯的CBDC或數字盧布的試點發射可能在2021年底啟動.

1900/1/1 0:00:00
ENT:FF量化研究院10月24日分析與復盤

昨日復盤 昨日BTC整體震蕩區間收宅,處于高位橫盤整理狀態,盤面依舊強勢,說了多天的12650都沒跌破,強勢理由昨天也說過了:近兩個月很多出金通道被堵了,凍卡等現象頻繁出現,場內資金沒法出去.

1900/1/1 0:00:00
ads