買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > MANA > Info

NIMB:慢霧:簡析Punk Protocol 被黑過程_BNB

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊,損失約400萬美元,慢霧安全團隊以簡訊形式將攻擊原理分享如下:

?1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。

慢霧:Poly Network再次遭遇黑客攻擊,黑客已獲利價值超439萬美元的主流資產:金色財經報道,據慢霧區情報,Poly Network再次遭遇黑客攻擊。分析發現,主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析,ETH鏈第一筆手續費為Tornado Cash: 1 ETH,BSC鏈手續費來源為Kucoin和ChangeNOW,Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前,部分被盜Token (sUSD、RFuel、COOK等)被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產,剩余被盜資金被分散到多條鏈60多個地址中,暫未進一步轉移,全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

?2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。

慢霧:NimbusPlatform遭遇閃電貸攻擊,損失278枚BNB:據慢霧安全團隊情報,2022 年 12 月 14 日, BSC 鏈上的NimbusPlatform項目遭到攻擊,攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下:

1. 攻擊者首先在 8 天前執行了一筆交易(0x7d2d8d),把 20 枚 BNB 換成 NBU_WBNB 再換成 GNIMB 代幣,然后把 GNIMB 代幣轉入 Staking 合約作質押,為攻擊作準備;

2. 在 8 天后正式發起攻擊交易(0x42f56d3),首先通過閃電貸借出 75477 枚 BNB 并換成 NBU_WBNB,然后再用這些 NBU_WBNB 代幣將池子里的絕大部分 NIMB 代幣兌換出;

3. 接著調用 Staking 合約的 getReward 函數進行獎勵的提取,獎勵的計算是和 rate 的值正相關的,而 rate 的值則取決于池子中 NIMB 代幣和 GNIMB 代幣的價格,由于 NIMB 代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多;

4. 攻擊者最后將最后獲得的 GNIMB 代幣和擁有的 NIMB 代幣換成 NBU_WBNB 代幣后再換成 BNB,歸還閃電貸獲利;

此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。[2022/12/14 21:44:29]

?3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

慢霧:PREMINT攻擊者共竊取約300枚NFT,總計獲利約280枚ETH:7月18日消息,慢霧監測數據顯示,攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT,賣出后總計獲利約280枚ETH。此前報道,黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊,從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]

?4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。

總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。

Tags:NIMNIMBBNBFORUniMex FinanceNIMBUS幣如何購買bnbPlatform of meme coins

MANA
DEF:Continue匹馬:DeFi漲勢緣何乏力?為什么要關注蠻荒未墾的Web3?_CON

作者:Continue匹馬 來源:微博 DeFi為什么不漲或者說漲勢不凌厲?左手公鏈,右手DeFi,這還是去年定的主基調,現在得加上:橫批WEB3,這是綱領性方向,堅定三年不動搖.

1900/1/1 0:00:00
AME:彼岸花資本戰略投資去中心化支付生態Samecoin_OIN

鏈捕手消息,近日,BAFCapital宣布投資去中心化數字貨幣支付體系SamecoinProtocol,并與其達成戰略合作.

1900/1/1 0:00:00
OIN:方舟基金(ARK)對傳統媒體 5 大加密貨幣批評觀點的反駁_比特幣

本文來源于白澤研究院,作者為YassineElmandjra注:本文最初發表時間為6月28日,譯者認為文章是對前段時間TheBWorld線上峰會的造勢.

1900/1/1 0:00:00
ANTS:DAO項目Seed Club完成200萬美元融資,IOSG Ventures等參投_DENT價格

鏈捕手消息,社區代幣DAO項目SeedClub完成200萬美元融資,旨在建立“社區代幣領域的YCombinator”.

1900/1/1 0:00:00
Chain:Chainswap公布被盜事件詳情:共損失約80萬美元,將全額補償_AngryBlockchain

鏈捕手消息,跨鏈資產橋Chainswap今日公布了黑客攻擊事件詳情,稱UTC時間7月2日凌晨04:30,注意到跨鏈橋上出現異常.

1900/1/1 0:00:00
FOX:ShapeShift 宣布進行加密歷史上最大空投,超110萬地址擁有領取資格_ETP

鏈捕手消息,加密貨幣交易所ShapeShift宣布正式發行FOX代幣并進行加密行業歷史上最大空投,超110萬地址擁有領取資格.

1900/1/1 0:00:00
ads