事件簡述
8月5日凌晨四點,有用戶在opyn論壇反饋自己的賬戶余額無故消失,并有用戶發現可疑的交易信息,如下圖所示:
Opyn項目方再對情況初步分析后做出回應表示:已經轉移了資金,并正在尋找問題原因
截至發稿前,官方發文回應此次事件:遭到黑客攻擊,并已對可能遭受攻擊的資產進行轉移,但此次漏洞只涉及ETH合約,并不影響其他合約。如下圖所示:
成都鏈安:BasketDAO遭到攻擊,導致用戶損失約120萬美元:據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,BasketDAO遭到攻擊,導致用戶損失約120萬美元。通過鏈必追產品進行追蹤分析,發現大部分被盜資金都被存入了 TornadoCash,以下為受害者地址:[2022/3/30 14:27:04]
成都鏈安-安全實驗室第一時間對本次事件進行跟蹤分析,以下是態勢感知系統檢測盜的攻擊者合約地址:0xe7870231992ab4b1a01814fa0a599115fe94203f0xb837531bf4eb8ebfa3e20948bd14be067c18cbd30xb72e60ea1d0c04605f406c158dce9ac6ae6d224c攻擊者攻擊方式還原:1、攻擊者調用合約向合約發送n個USDC增加抵押,并得到合約幣oETH2、攻擊者調用合約發送ETH進行抵押,并銷毀oETH以贖回自己的USDC3、攻擊者贖回自己抵押的ETH。如下圖所示:
LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。
獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。
創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。
合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;
審計報告編號:202009222010。[2020/9/24]
分析 | 成都鏈安:盜竊Upbit交易所黑客開始測試向交易所充值:據成都鏈安反洗錢系統(Beosin-AML)監測顯示,Upbit攻擊者于28日下午17:08開始向0xf467816地址轉移60100ETH,并將少量ETH轉往可能隨機選取的中間地址。通過該地址,這筆小額ETH目前已經進入疑似火幣交易所錢包地址0x5401dbf7da53e1c9。目前攻擊者正在分散資金,且通過少量的ETH測試是否能夠成功進入交易所。[2019/11/28]
在步驟二中,攻擊者調用exercise函數,并向其傳遞了兩個地址A、B和兩倍自己應得的USDC,程序正常執行,這導致地址B的資金受損。技術分析
以交易0x56de6c4bd906ee0c067a332e64966db8b1e866c7965c044163a503de6ee6552a為例,攻擊者通過合約0xe7870231992ab4b1a01814fa0a599115fe94203f對合約0x951D51bAeFb72319d9FBE941E1615938d89ABfe2發動攻擊,此筆交易中共獲利$9907。如下圖所示:
聲音 | 成都鏈安:用戶安全意識不足、交易所安全體系不夠完善等因素造成交易所安全事件頻發:成都鏈安統計數據顯示,近期交易所安全問題時有發生。通過總結近期各種交易所安全事件和用戶丟幣事件,成都鏈安分析認為,交易所安全事件的問題來源主要有三點:1、用戶安全意識不足,導致誤入釣魚網站等進而私密信息被盜。2、交易所安全體系不夠完善,平臺自身存在安全漏洞。3.交易所外接數據服務或其他服務后,未針對不可控因素建立應急機制。[2019/8/26]
攻擊者首先調用了addERC20CollateralOption函數,向合約中發送了9900個USDC,如下圖所示:
此函數中的addERC20Collateral(msg.sender,amtCollateral);負責代理轉賬USDC;函數中的issueOTokens(amtToCreate,receiver);負責鑄幣oETH,此筆交易鑄幣30個oETH并發送給了攻擊者,如下圖所示:
在此完成后,攻擊者的vault參數進行了變化。vault.oTokensIssued和vault.collateral分別更新300000000和9900000000為如下圖所示:
然后攻擊者開始將oETH兌換出來。調用exercise,構造參數oTokensToExercise為60,vaultsToExerciseFrom為兩個地址,其中一個是也滿足條件的他人地址。如下圖所示:
Exercise函數運行_exercise(vault.oTokensIssued,vaultOwner);分支,將30oETH相應比例的USDC發送給調用者,如下圖所示:
我們可以注意到,在最終轉賬時,_exercise是將USDC轉給了msg.sender,也就是攻擊者。我們回頭看exercise中存在者for循環,攻擊者輸入的oTokensToExercise為60,所以合約再驗證了第二個地址符合條件的情況下,依舊會將余額轉給msg.sender,也就是攻擊者。這就使得攻擊者可以獲得兩次USDC,從而獲得利潤。總結建議
此次事件攻擊者利用了exercise函數的邏輯缺陷。此函數在進行最后轉賬前并未驗證調用者是否有權限贖回此地址的USDC,只是簡單的驗證了地址是否可以贖回。屬于代碼層的邏輯漏洞,并且根據官方回復,此合約是經過安全審計的。成都鏈安在此提醒各項目方:1、項目上線前應當進行足夠有效的安全審計,最好是多方審計2、對于合約的應當設置暫停合約交易等功能,在發生安全事件時,可以以保證資金安全3、安全是一個持續的過程,絕非一次審計就能保平安,與第三方安全公司建立長期的合作至關重要
作者:火小律號稱最搶手項目的Filecoin,歷時3年,4次推遲,終于要上線了。無數殷切期盼的眼神,伴隨著“一夜暴富”的黃粱美夢。熱潮中,跟隨火小律冷眼旁觀下背后的礦機風云、云算力風險.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,作者:ANDREYSHEVCHENKO,Odaily星球日報經授權轉載.
1900/1/1 0:00:00Odaily星球日報譯者|念銀思唐 摘要: -Silvergate第二季度表現強勁,同比增長顯著;-Silvergate的支付平臺SEN及其新的相關產品SENLeverage一直是該行的增長動力.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:JordanLyanchev,編譯:CaptainHiro,星球日報經授權發布。比特幣的價格可能在未來短短兩年多的時間內大幅飆升至10萬美元.
1900/1/1 0:00:00編者按:本文來自威廉閑談,作者:陳威廉,Odaily星球日報經授權轉載。我發現囤幣黨最近這一個月真是不斷被嘲諷啊,股市賺錢的人過來嘲諷一下,以太坊賺了錢的人過來嘲諷一下,DeFI代幣賺了錢的也過.
1900/1/1 0:00:00編者按:本文來自萬向區塊鏈,Odaily星球日報經授權轉載。7月31日,萬向區塊鏈董事長兼總經理肖風博士受邀出席由工信部所屬中國電子技術標準化研究院主辦,萬向區塊鏈協辦的“區塊鏈技術和應用峰會暨.
1900/1/1 0:00:00