鏈捕手消息,據慢霧區情報,幣安智能鏈項目ValueDeFi的vSwap模塊被黑,慢霧安全團隊將攻擊過程以簡訊的形式分享:
1.攻擊者首先使用0.05枚WBNB通過vSwap合約兌換出vBSWAP代幣
2.攻擊者在兌換的同時也進行閃電貸操作,因此vSwap合約會將兌換的vBSWAP代幣與閃電貸借出的WBNB轉給攻擊者
慢霧:Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道,慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析,以下將分析結論同步社區:
Hacker#1 攻擊黑客(盜取最大資金黑客),獲利金額:約 2410 萬美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已歸還超 1890 萬美元的被盜資金;12,500 BNB 存款到 Tornado Cash;約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。
Hacker#2 套利機器人-1,獲利金額:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在獲利地址中,未進一步轉移。
Hacker#3 攻擊模仿者-1,獲利金額:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利機器人-2,獲利金額:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利機器人-3,獲利金額:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部轉移至新地址 0x8960...8525,后無進一步轉移。
Hacker#6 攻擊模仿者-2,獲利金額:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利機器人-4,獲利金額:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通過 Uniswap 兌換為 30.17 ETH,其中 0.71 支付給 Flashbots,剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]
3.而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的tokenWeight0參數是否為50來選擇不同的算法來檢查池子中的代幣數量是否符合預期
慢霧:Transit Swap黑客攻擊交易被搶跑,套利機器人獲利超100萬美元:10月1日消息,據慢霧安全團隊情報,Transit Swap 黑客轉移用戶 BSC 鏈 BUSD 資產時被套利機器人搶跑,區塊高度為21816885,獲利107萬BUSD。套利機器人相關地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、
截止到目前,在各方的共同努力下,黑客已將 70% 左右的被盜資產退還到Transit Swap開發者地址,建議套利機器人所屬人同樣通過service@transit.finance或鏈上地址與Transit Swap取得聯系,共同將此次被盜事件的受害用戶損失降低到最小。[2022/10/2 18:37:44]
4.由于vSwap合約的tokenWeight0參數設置為70,因此將會采用第二種算法對池子中的代幣數量進行檢查
慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]
5.而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過
6.第二種算法是通過調用formula合約的ensureConstantValue函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的
7.在通過對此算法進行具體分析調試后我們可以發現,在使用WBNB兌換最小單位(即0.000000000000000001)vBSWAP時,池子中緩存的WBNB值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過
8.因此攻擊者可以轉入WBNB進行最小單位的vBSWAP代幣兌換的同時,將池子中的大量WBNB代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過vSwap的檢查
9.攻擊者只需要在所有的vSwap池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利
參考交易:
https://bscscan.com/tx/0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de
鏈捕手消息,BSC生態PancakeBunny在遭受閃電貸攻擊后發布評估和補償計劃。具體內容如下:1.vaults未遭到破壞。該漏洞使BUNNY的價格暴跌,但10億美元的TVL未被盜.
1900/1/1 0:00:00本文系鏈捕手原創文章,作者:Echo,編輯:龔荃宇。今年3月,灰度母公司DCG撰文談及其投資策略,其中將界面層與中間件層并列為重點投資方向,前者則是指整合中間件、具有體驗友好型前端的項目,其中提.
1900/1/1 0:00:00本文系鏈捕手原創文章,作者為谷昱。區塊鏈技術是當前時代最重要的創新之一,使得去中心化真正成為可能,任何人都對自己的鏈上資產享有絕對的控制權,外界無法進行任何干涉與操作.
1900/1/1 0:00:00本文來自律動BlockBeats。2021北京保利春拍首次NFT數字藝術品專場《Metaverse:數字孿生》將于6月4日正式開拍,此次專場拍賣是保利拍賣首次NFT數字藝術拍賣,遴選作品聚焦「數.
1900/1/1 0:00:00鏈捕手消息,近期CryptoTycoon通過北京鏈安的審計,并與14家機構進行了種子輪簽約,確認出讓3%的份額提供給參與機構,份額將于2022年6月全部解鎖完畢,參與結果也會在近期公布.
1900/1/1 0:00:00本文發布于鳳凰網財經,記者:魯婧涵5月27日,四川下發關于加密貨幣“挖礦”的摸底通知,拉開“礦都”整頓“挖礦”的大幕.
1900/1/1 0:00:00