鏈捕手消息,據慢霧區分析,BSC上的DeFi項目EGDFinance項目遭受黑客攻擊,導致其池子中資金被非預期的取出。慢霧安全團隊對此進行分析:
慢霧:過去一周Web3因安全事件損失約265萬美元:7月17日消息,慢霧發推稱,2023年7月10日至7月16日期間,Web3發生5起安全事件,總損失為265.5萬美元,包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]
1.由于EGD_Finance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格,而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格
分析 | 慢霧科技:錢包被注入惡意代碼 可能是網站管理員沒有維護好代碼權限:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,慢霧科技在接受金色財經采訪時分析指出:“錢包被注入惡意代碼,有可能是網站的管理員沒有維護好代碼的權限。導致網頁代碼被攻擊者加入了惡意代碼。惡意代碼會竊取助記詞、私鑰等等的東西發送到攻擊者自己的服務器上面,就像一個后門一樣。類似的事件,以前也發生過不少,主要還是錢包的問題,從用戶角度來看, 盡量不要用這種網頁錢包。”[2019/10/12]
2.攻擊者利用這個點先閃電貸借出池子里大量的USDT,使得EGD代幣的價格通過計算后變的很小,因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多,從而導致池子中的EGD代幣被非預期取出
現場 | 慢霧科技郭陽:面對DApp安全問題開發人員需提升開發能力:金色財經現場報道,今日,2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上,廈門慢霧科技有限公司慢霧安全負責人郭陽指出了以太坊溢出、權限控制、條件競爭、假充值和EOS惡意占用 RAM、假幣等DApp 安全問題,他表示,開發人員要提升自己的開發能力以及專業技能,同時在合約開發完成后找職業的安全團隊審計,也可以參考業界的經驗分析總結。[2018/10/10]
本次事件是因為EGD_Finance的合約獲取獎勵時計算獎勵的喂價機制過于簡單,導致代幣價格被閃電貸操控從而獲利。參考攻擊交易鏈接可點擊此處。
Tags:NCEFINAFINANCYFED.FinanceEuler FinanceJiggly FinanceLANC幣
作者:LucasBaker,JumpCrypto編譯:Amber,ForesightNews自2020年中期DeFi活動和創新大規模爆發以來,去中心化借貸已成為新興鏈上金融體系的核心支柱.
1900/1/1 0:00:00來源:metabus001 作者:Kelvin 8月10日,P&TVentures領投METABUS社區的第一期基金,總額達1000ETH,是業內首支專注于NFT量化交易的基金.
1900/1/1 0:00:00作者:湯圓,蜂巢Tech8月16日,2022年世界杯足球賽(TheFIFAWorldCup)正式進入倒計時100天,與足球有關的加密板塊開始活躍,特別是NFT.
1900/1/1 0:00:00來源:Web3Revolution編譯:JC、AliceFang與鏈捕手 導語 Web3Revolution是關于一檔探索Web3領域的雙語播客,通過對話.
1900/1/1 0:00:00作者:JonathanKing,?ConnorDempsey,&?HoolieTejwani原標題:《Asimpleguidetotheweb3developerstack》 編譯:胡韜.
1900/1/1 0:00:00鏈捕手消息,Web3數據API服務商Phyllo宣布完成1500萬美元A輪融資,RTPGlobal領投.
1900/1/1 0:00:00