買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > MANA > Info

FAI:成都鏈安揭露:FAIRWIN 智能合約漏洞技術分析_USD

Author:

Time:1900/1/1 0:00:00

近日,FAIRWIN智能合約存在漏洞這一問題引起各方關注,FAIRWIN作為近日以太坊鏈上交易量最高的資金盤模式應用,在以太坊鏈上還存在大量類似的克隆盤,如果存在隱藏漏洞會給公鏈帶來較大風向,因此成都鏈安安全人員對FAIRWIN智能合約展開了深度分析,分析結果如下:通過對FAIRWIN合約代碼進行審計,我們發現其合約存在一個remedy()接口,如果合約owner沒有通過close()關閉接口時,該接口可以被任意用戶調用,并且可以通過這個接口偽造投注數據,實現“無中生有”,在不使用任何資金的情況下偽造了充值記錄,之后攻擊者便可以享受分紅,或者通過userWithDraw()將余額全部提出。

成都鏈安:Goldfinch項目的SeniorPool合約遭受攻擊,項目方累計損失超54萬美元:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Goldfinch項目的SeniorPool合約遭受攻擊,攻擊者累計獲利28523個USDC,項目方累計損失541158個USDC。經成都鏈安技術團隊分析,本次攻擊原因是攻擊者可以利用Curve的FIDU-USDC池子獲取FIDU代幣,來獲取SeniorPool合約抵押USDC代幣的紅利。目前Curve中FIDU兌換USDC為1:1.03, 而在SeniorPool中的比例為1:1.07,這就產生了套利空間。[2022/6/28 1:36:11]

通過鏈上記錄,我們發現項目方已于2019年7月28日通過closeAct關閉了該接口。通過成都鏈安Beosin-AML系統分析項目方所有的交易記錄,我們進一步分析是否已經存在攻擊者插入投注數據成功的情況。通過分析發現,該漏洞已被嚴重濫用。從十天前到現在為止,陸續有賬戶嘗試調用remedy()接口來插入投注數據,不過由于該操作已被關閉,導致插入數據失敗,可以看到插入金額都是幾萬ETH。插入失敗記錄:

成都鏈安:whaleswap.finance項目遭受攻擊,至少損失5,946 個BUSD和5964個USDT:6月21日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,whaleswap.finance項目遭受攻擊,成都鏈安技術團隊分析發現原因可能是因為whaleswap.finance Pair合約的K值校驗存在問題。每當用戶在進行交換時,K值校驗中傳入的參數量級存在問題,造成K值校驗失效。攻擊者先通過閃電貸借一筆BSC-USD,之后歸還閃電貸時K值校驗參數量級為10000^4。而K值校驗時采取的參數校驗量級為10000^2,導致K校驗失效。[2022/6/21 4:41:57]

通過完整追溯,我們總共發現503條插入成功的交易記錄,且插入日期都在項目方關閉接口之前。經統計,這503條交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b發起。

聲音 | 成都鏈安創始人:區塊鏈領域存在六大安全漏洞,全球共損失90億美元:在2019上海區塊鏈國際周現場,成都鏈安科技有限公司創始人、電子科技大學副教授楊霞詳細分析了行業的六大安全問題。即系統漏洞引起的損失、用戶使用不當引起的問題、網絡犯罪、暗網黑市交易、洗錢,傳銷盤和資金盤。根據數據來看,系統漏洞引起的損失,今年以來,由區塊鏈漏洞引起的損失高達30多億美元。從2011年到2018年損失高達90多億美元。(華夏時報)[2019/9/17]

通過統計得出總共插入了5093個ETH,其中包括4711個凍結ETH,382個未凍結ETH。并且攻擊者通過插入投注記錄設置的500多個小號已經進行過提現操作。

通過進一步分析其合約部署情況發現,在項目方關閉actStu的前一天,也就是2019年7月27日,項目方剛剛部署FAIRWIN合約,在短短一天時間不到之內,項目合約之內便無中生有了5000多個ETH。7月29日,以太坊瀏覽器顯示合約進行了開源。

Tags:USDAIRFAIFINMUSD幣WFAIRFair.GameETET Finance

MANA
UNI:ETH2.0的跨分片:它會影響DeFi的可組合性嗎?_ETH

編者按:本文來自藍狐筆記,作者:VitalikButerin,編譯:SL,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
CHA:萊特幣基金會“沒錢了”,想用20萬美元運行2年_RICHARD

10月11日消息,據萊特幣基金會在社區公示的一張收支明細表顯示,Litecoin基金會(LF)快沒錢了,去年(2018-2018.6),該基金會收入一度超過100萬美元.

1900/1/1 0:00:00
RAM:緊急起訴Telegram 17億美元代幣項目,美國SEC為何感到不安?_gram幣能漲到一塊嗎

美國SEC稱Grams是非法證券,并試圖阻止其進行分發與銷售。頓時,Telegram陷入水深火熱之中.

1900/1/1 0:00:00
區塊鏈:通證經濟:成也激勵,敗也激勵_PAL

激勵作用是通證經濟的核心之一,之前大多是在討論通證可能產生的正面意義,但在實際的通證化改造過程中,我們發現了通證化改造的很多問題,本文對這些問題進行了探討.

1900/1/1 0:00:00
區塊鏈:泡菜溢價與江南大媽:財閥輪回的韓國區塊鏈之路_比特幣最高的時候是多少錢一枚人民幣

編者按:本文來自 Mars火星區塊鏈 ,作者:文刀,Odaily星球日報經授權發布。在二戰后發展起來的國家中,韓國是為數不多的跨越中等收入陷阱成為發達國家的經濟體,創造了媲美西德“萊茵河奇跡”的.

1900/1/1 0:00:00
LIBRA:Libra回應G7全文:改善跨境支付的機會_區塊鏈是騙局嗎

編者按:本文來自碳鏈價值,作者:黑夜,星球日報經授權發布。Libra協會歡迎與G7工作組進行對話、并接受其審查.

1900/1/1 0:00:00
ads