買比特幣 買比特幣
Ctrl+D 買比特幣
ads

ETH:OUSD遭“經典重入攻擊”,損失770萬美元,DeFi安全亟待解決_USD

Author:

Time:1900/1/1 0:00:00

近日,PeckShield監控到DeFi協議OriginProtocol穩定幣OUSD遭到攻擊,攻擊者利用在衍生品平臺dYdX的閃電貸進行了重入攻擊存入Origin智能合約來鑄造OUSD穩定幣,之后該協議會將基礎穩定幣投資于多個DeFi協議并進行收益耕作,為OUSD持有者賺取回報。重入攻擊重現憑空創造2050萬枚OUSD

PeckShield通過追蹤和分析發現,首先,攻擊者從dYdX閃電貸貸出70,000枚ETH;隨后,在UniswapV2中先將17,500枚ETH轉換為785萬枚USDT,再將所貸剩余的52,500枚ETH轉換為2099萬枚DAI;接下來,攻擊者分四次鑄造OUSD穩定幣:第一次通過mint()函數鑄造OUSD時,攻擊者確實在Origin智能合約中存放了750萬枚USDT,并獲得750萬枚OUSD;第二次通過mintMultiple()多種穩定幣函數鑄造OUSD時,攻擊者在Origin智能合約中存放了2050萬枚DAI和0枚假“穩定幣”,并在此步驟中通過重入攻擊來攻擊合約。攻擊者將2050萬枚DAI和0枚假“穩定幣”存入VaultCore中,此時智能合約收到2050萬枚DAI,在嘗試接收0枚假“穩定幣”時,攻擊者利用惡意合約進行劫持,在智能合約正常啟動鑄造2050萬枚OUSD之前,調用mint()函數,先惡意增發了2050萬枚OUSD,此次惡意增發由VaultCore合約調用rebase()函數實施。

a16z將Autonomous Partners創始人提升為加密基金普通合伙人:金色財經報道,據官方消息,Andreessen Horowitz(a16z)宣布將Autonomous Partners創始人Arianna Simpson提升為其最新的加密基金普通合伙人。

此前消息,自3月起,Simpson作為交易合伙人加入Andreessen Horowitz(a16z)加密團隊。[2021/7/20 1:03:29]

YouSwap將于5月6日14:00新增YOU/CSD流動性挖礦:據最新消息,YouSwap將于2021年5月6日14:00(UTC+8)于聯盟區新增開啟YOU/CSD流動性挖礦。用戶可以通過質押YOU/CSD的LP Token挖礦YOU。

中央購物公園記憶鏈(CSD)是一個基于以太坊和HECO的去中心化、社交性的、全開源的、儲備與其他資源、并有娛樂消費集合為一的綜合性平臺。

截至目前YouSwap平臺總鎖倉量達16355095USDT,YOU總銷毀數量達81,246。[2021/5/6 21:28:34]

值得注意的是,為順利實施劫持,攻擊者在上述mint()函數調用時,真金白銀地存入了2,000枚USDT,同時獲得第三次鑄幣2,000枚OUSD。隨后,調用oUSD.mint()函數第四次鑄造2050萬枚OUSD。

聲音 | 經濟學家Ammous:官方禁止實際上對比特幣有益:據bitcoinist消息,經濟學家Stephan Livera最近在接受采訪時表示,“官方禁止實際上對比特幣有益,如果銀行禁止你用銀行賬戶購買比特幣,這其實是在給比特幣打廣告”他用兩個理由來解釋了這一觀點。第一個原因是使用加密貨幣的風險和回報率,如果幣是非法使用的,這就意味著使用它的風險非常高,從而證明了它的價值。第二個原因是,對購買比特幣的限制會導致公眾出于轉向地下市場,從而導致“史翠珊效應,市場對比特幣和其他加密貨幣的需求也會增加。[2019/5/6]

rebase指代幣供應量彈性調整過程,即對代幣供應量進行“重新設定”。在DeFi領域有一類代幣擁有彈性供應量機制,即每個代幣持有用戶的錢包余額和代幣總量會根據此代幣價格的變化而等比例變動。此時,攻擊者共獲得2800.2萬枚OUSD,包括抵押的750萬枚USDT、2050萬枚DAI和2000枚USDT。由于調用rebase()函數,攻擊者所獲得的OUSD總計上漲至33,269,000枚。最后,攻擊者先用所獲得的33,269,000枚OUSD贖回1950萬枚DAI、940萬枚USDT、390萬枚USDC;再在Uniswap中將1045萬枚USDT兌換為22,898枚ETH,將390萬枚USDC兌換為8,305枚ETH,將190萬枚DAI兌換為47,976枚ETH,共計79,179枚ETH,并將其中70,000枚ETH歸還到dYdX閃電貸中。據PeckShield統計,攻擊者在此次攻擊中共計獲利11,809枚ETH和2,249,821枚DAI,合計770萬美元。對于次攻擊事件,OriginProtocol官方回應稱,正在積極采取措施,以期收回資金。隨著DeFi生態的蓬勃發展,其中隱藏的安全問題也逐漸凸顯,由于DeFi相關項目與用戶資產緊密相連,其安全問題亟待解決。對此,PeckShield相關負責人表示:“此類重入攻擊的發生主要是由于合約沒有對用戶存儲的Token進行白名單校驗。DeFi是由多個智能合約和應用所組成的’積木組合’,其整體安全性環環相扣,平臺方不僅要確保在產品上線前有過硬的代碼審計和漏洞排查,還要在不同產品做業務組合時考慮因各自不同業務邏輯而潛在的系統性風控問題。”

Tags:USDOUSDETHSDTusda幣官網中文OUSD價格miniSHIB ETH泰達幣usdt錢包下載

中幣交易所
BTC:Synthetix推出新殺器,一文了解虛擬Synth如何大幅降低DEX交易滑點_THE

編者按:本文來自巴比特資訊,作者:DanielPhillips,編譯:云錦,星球日報經授權發布.

1900/1/1 0:00:00
PPL:分析:XRP價格在一個月內暴漲91%,有三個原因_xrp幣最新價格行情

編者按:本文來自Cointelegraph中文,作者:JOSEPHYOUNG,Odaily星球日報經授權轉載。在過去的一個月中,XRP的價格上漲了91%,現在正在趕超比特幣和以太坊.

1900/1/1 0:00:00
EFI:踏空者的悲歌,比特幣不講武德_KingDeFi

“一萬八了,各個群還是死氣沉沉,連發紅包的都沒有。“投資者馬月稱。在比特幣接連突破2018年以來新高的同時,中國的加密社群里依然冷清.

1900/1/1 0:00:00
DEF:閃電貸與預言機防篡改性的重要意義_PEET DeFi

閃電貸與流動性挖礦一樣,都是創新的流動性機制,這兩個概念是近期DeFi生態的熱門話題,引來了廣泛關注.

1900/1/1 0:00:00
STA:Injective與StaFi達成合作,利用Substrate實現新的Staking和Farming收益_Stargate Finance

我們很高興宣布與StaFi建立新的合作伙伴關系,StaFi是一種基于Substrate的DeFi協議,用于對衍生品進行抵押,以釋放資產的流動性.

1900/1/1 0:00:00
MER:鋁業巨頭遭勒索陷落至暗時刻:“老學校”破黑客彰顯英雄本色_BIT

烤仔看世界 《烤仔看世界》系列,為你定格全世界的精彩,烤仔將通過翻譯海外權威媒體、作者有趣、有料的文章,與你分享區塊鏈、金融、科技等行業的逸聞趣事.

1900/1/1 0:00:00
ads