原文:《正處于“刮骨療”自救的SushiSwap,今日又是如何被黑客攻擊的?》
在嚴峻的財務壓力下,黑客又來一擊,那在黑客的打擊下,SushiSwap能否走出自救的道路?
2023年4月9日,據BeosinEagleEye態勢感知平臺消息,SushiswapRouteProcessor2合約遭受攻擊,部分對合約授權過的用戶資金被黑客轉移,涉及金額約1800ETH,約334萬美元。
據了解,SushiSwap流動性挖礦項目,克隆自Uniswap,最大的不同是其發行了SUSHI代幣,團隊希望用SUSHI通證經濟模型,優化Uniswap。但Uniswap創始人HaydenAdams表示,Sushi只是任何有能力的開發人員通過一天的努力創造出來的東西,試圖利用炒作和Uniswap創造的價值來獲利。
CME將于5月22日擴大比特幣和以太坊期權的合約期限:金色財經報道,芝商所(CME Group)宣布計劃從 5 月 22 日開始,在標準和微型比特幣和以太坊合約中擴展其加密貨幣期權合約,目前等待監管審查。其中,比特幣和以太坊期貨期權的新到期日將提供星期一、星期二、星期三、星期四和星期五的到期日。微型比特幣和以太坊期貨期權將在現有的周一、周三和周五合約上增加周二和周四的到期日。所有這些新產品將補充所有比特幣和以太坊期貨合約的現有月度和季度到期。[2023/4/17 14:09:19]
其實在本次攻擊之前,這個項目還有另外的“坎坷”,去年12月6日,上任僅兩個月的Sushi新任“主廚”JaredGrey于治理論壇發起了一項新提案。在該提案中,Jared首次向外界披露了Sushi當前嚴峻的財務狀況,并提出了一個暫時性的自救方案。
正是在這樣的壓力下,黑客又來一擊,那在黑客的打擊下,SushiSwap能否走出自救的道路?
美國加州于Tezos區塊鏈啟動車主證NFT化測試,預計Q2上線配套應用程序:1月27日消息,美國加利福尼亞州機動車管理局(California's Department of Motor Vehicles)將在Tezos區塊鏈上啟動車主證NFT化測試,旨在將汽車產權數字化并簡化車主之間的產權轉讓過程。
據加州機動車管理局首席數字官Ajay Gupta透露,該項目預計將在三個月內完成,屆時還將推出包括數字錢包在內的消費者應用程序。(Crypto Saurus)[2023/1/27 11:32:38]
事件相關信息
我們以其中一筆攻擊交易進行事件分析。
Coinbase BTC溢價指數跌超1200%,亞洲買盤相對更強:11月10日消息,Coinbase BTC溢價-0.1954%,24小時跌幅達1238.36%,表明當前BTC在Coinbase市場上的購買力相對較弱,請合理控制風險。[2022/11/10 12:41:55]
攻擊交易
0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8
攻擊者地址
0x719cdb61e217de6754ee8fc958f2866d61d565cf
攻擊合約
0x000000C0524F353223D94fb76efab586a2Ff8664
被攻擊合約
元宇宙平臺Roblox正在招聘Web3高級軟件工程師,以開發Web3解決方案:7月10日消息,據元宇宙平臺Roblox官網發布的招聘信息,該公司正在招聘Web3高級軟件工程師,以幫助Roblox市場做好Web3準備,開發Web3解決方案并將它們與Roblox中現有的Roblox技術堆棧集成,幫助決定Roblox中Web3的未來以及我們的Web3解決方案的性質。
據悉,Roblox作為大型社區互動游戲,玩家可以通過平臺與朋友聊天、互動以及創作,多重屬性讓Roblox被外界認為是目前最具元宇宙氣質的平臺。[2022/7/10 2:03:28]
0x044b75f554b886a065b9567891e45c79542d7357
被攻擊用戶
0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1
攻擊流程
1.攻擊者地址(0x1876…CDd1)約31天前部署了攻擊合約。
2.攻擊者發起攻擊交易,首先攻擊者調用了processRoute函數,進行兌換,該函數可以由調用者指定使用哪種路由,這里攻擊者選擇的是processMyERC20。
3.之后正常執行到swap函數邏輯中,執行的功能是swapUniV3。
4.在這里可以看到,pool的值是由stream解析而來,而stream參數是用戶所能控制的,這是漏洞的關鍵原因,這里lastCalledPool的值當然也是被一并操控的,接著就進入到攻擊者指定的惡意pool地址的swap函數中去進行相關處理了。
5.Swap完成之后,由于此時lastCalledPool的值已經被攻擊者設置成為了惡意pool的地址,所以惡意合約調用uniswapV3SwapCallback函數時校驗能夠通過,并且該函數驗證之后就重置了lastCalledPool的值為0x1,導致swapUniV3函數中最后的判斷也是可有可無的,最后可以成功轉走指定的from地址的資金,這里為100個WETH。
漏洞分析
本次事件攻擊者主要利用了合約訪問控制不足的問題,未對重要參數和調用者進行有效的限制,導致攻擊者可傳入惡意的地址參數繞過限制,產生意外的危害。
總結
針對本次事件,Beosin安全團隊建議:
1.在合約開發時,調用外部合約時應視業務情況限制用戶控制的參數,避免由用戶傳入惡意地址參數造成風險。
2.用戶在與合約交互時應注意最小化授權,即僅授權單筆交易中實際需要的數量,避免合約出現安全問題導致賬戶內資金損失。
Tags:SWAPSHIUSHIUSHSwapAllSHIBGOsushi幣值得長期持有嗎Mushrooms Finance
原文:《加密OG都在玩的Arbitrum應用Stealcam:窺私欲與所有者經濟的完美結合》作者:LeftOfCenter這款近日有點小火的Web3產品名為Stealcam.
1900/1/1 0:00:00去中心化世界剛剛經歷了一波歷史級別的牛市,無數創新呈現在我們的面前。相較于2018年牛熊轉換后的一地雞毛,這次去中心化世界擁有了DeFi、NFT、衍生品、Lanuchpad、Incubator等.
1900/1/1 0:00:00原文標題:THEBITCOINMONTHLY作者:ARKInvest編譯:倩雯,ChainCatcherBTC短線持有者實現盈利,持續牛市或將到來。但宏觀市場顯現不確定性.
1900/1/1 0:00:00本文來自Bankless,由Odaily星球日報譯者Katie辜編譯。 隨著?ARB?空投在即,人們開始對?Arbitrum?生態系統密切關注.
1900/1/1 0:00:00ARB?的推出對加密貨幣和以太坊來說是一個重要時刻,對空投界來說也是一個巨大的里程碑。ARB?之后的項目方要如何對早期采用者進行代幣激勵呢?今天,讓我們深入探討下空投的未來.
1900/1/1 0:00:00原文標題:《ANINTRODUCTIONTOZERO-KNOWLEDGEMACHINELEARNING(ZKML)》原文來源:Worldcoin原文編譯:深潮TechFlowZero-Knowl.
1900/1/1 0:00:00