BTC/HKD+3.44%
ETH/HKD+0.37%
LTC/HKD+3.74%
DOT/HKD-3.43%
ADA/HKD-5.41%
SOL/HKD+1.22%
XRP/HKD-0.82%
DOGE/US-2.6% 
北京時間2023年2月16日凌晨,Avalanche上的DeFi平臺PlatypusFinance遭遇閃電貸攻擊,被盜走約900萬美元。攻擊者部署了未經驗證的合約,并利用閃電貸消耗了協議中的約900萬美元。
攻擊步驟
三次攻擊,我們將選擇金額最大的用來解析流程:
1.攻擊者將閃電貸獲得的4400萬USDC存入PlatypusUSDC池,并獲得4400萬LP-USDC。
Coin Metrics研究人員:交易所可通過租用挖礦算力來對抗黑客:金色財經報道,加密分析公司Coin Metrics的研究人員Lucas Nuzzi表示,交易所可通過在線市場租用足夠的挖礦算力以強制進行有利的網絡重組來對抗黑客。Nuzzi認為,在確認之前,比特幣交易不一定是最終交易。通常情況下,會在經過六個區塊確認后成為最終交易,這往往需要一個小時。因此,通過租用大部分挖礦算力或與礦池聯合,交易所可以選擇接受未發生黑客攻擊的版本的鏈。[2020/7/9]
2.攻擊者將這4400萬LP-USDC存入MasterPlatypusV4。
動態 | 黑客將以太坊區塊鏈系統與谷歌系統相連,可通過電子郵件發送ETH:金色財經報道,三名黑客提出了一個創新的項目,將以太坊的區塊鏈系統與谷歌系統連接起來,這樣就可以將ETH發送到一個電子郵件地址,并通過這個電子郵件地址發送到另一個電子郵件地址。人們只需通過Metamask將ETH存入選擇的電子郵件地址,該電子郵件地址即已擁有ETH,并由谷歌的授權系統保護。[2019/11/13]
3.該平臺的借貸限額被設置為95%,這意味著攻擊者最多可以用他們的4400萬LP-USDC借到大約4180萬USP。
4.攻擊者在PlatypusTreasure合約中調用了borrow來鑄造大約4180萬USP。
動態 | 中國黑客組織APT41攻擊加密公司:根據8月2日發布的FireEye威脅情報報告,中國黑客組織APT41攻擊加密公司。除了針對醫療保健、電信、金融科技以及電影和媒體公司的攻擊外,有證據表明,APT41已經滲透并網羅了一些從事加密行業的公司。2018年6月,APT41發送魚叉式釣魚電子郵件,促使其目標加入以加密貨幣計價的去中心化式游戲平臺。同月,一個加密交易所被同一個電子郵件地址鎖定,據報道是由Tom Giardino運營的。此外,在至少一個案例中,該黑客組織部署了惡意代碼,將Monero挖礦機器人上傳到目標計算機上,這正在發展成為一種常見的網絡敲詐形式。(Coindesk)[2019/8/8]
5.由于借來的USP數額沒有超過限額,協議的isSolvent值將總是返回true。
6.由于isSolvent變量為true,攻擊者可以調用EmergencyWithdraw來提取其質押的4400萬LP-USDC全部資金。
7.攻擊者在支付了移除流動性的手續費用后,總共提取了43,999,999,921,036USDC。
8.攻擊者償還了閃電貸款,并以多個穩定幣的形式獲利約850萬美元。
2,425,762USDC
1,946,900USDC.e
1,552,550USDT
1,217,581USDT.e
687,369BUSD
691,984DAI.e
在撰寫本文時,共大約900萬美元被盜。其中攻擊者部署的合約中仍有價值850萬美元的資產;171,000美元在攻擊者的地址;399,400美元在一個Aave池。
漏洞分析
造成該事件的漏洞在于MasterPlatypusV4合約的函數emergencyWithdraw中償付能力檢查出現問題。其償付能力檢查沒有考慮到用戶的負債價值,而只檢查了債務金額是否達到最大限額。償付能力檢查通過后,合約允許用戶提取所有存入的資產。
函數platypusTreasure.isSolvent會返回兩個值。第一個值是solvent,是一個決定了用戶的債務金額是否低于借款限額的布爾值。第二個值debtAmount則顯示用戶所欠的債務金額。
如果用戶的債務額不超過用戶抵押物的95%的借款限額,那么solvent的值將為true。
然而,在emergencyWithdraw函數中,償付能力檢查只驗證了布爾值solvent,而忽略了債務金額。這意味著,如果用戶的債務不超過借款限額,用戶可以調用函數emergencyWithdraw來提取所有存入的抵押品。
通過安全審計,可以發現該設計缺陷問題。
本次事件的預警已于第一時間在CertiK官方推特進行了播報。歡迎大家隨時關注CertiK官方推特,獲取更多與漏洞、黑客襲擊以及RugPull相關的社群預警信息。
文|盧曉明編輯|羅彬萌離EOS節點投票還有20天。競選成了幣價強心針。競選開始不到兩個月,幣價從最低點4美元拉升至最高21美元。按總發行量10億算,目前市值約170億美元.
1900/1/1 0:00:00Mar.2022,Daniel在過去的一年里,讓人們對你的Web3項目或協議感興趣已經變得越來越有挑戰性。許多曾經充滿希望的項目因為各種不同的原因,都在熊市中倒下了.
1900/1/1 0:00:00BRC-20對于比特幣網絡帶來的劇烈波動,已引發了不少比特幣主義者的強烈不滿。除了比特幣純粹派對BRC-20鼓勵中心化的批判外,也不乏技術派對其安全問題的多重警示.
1900/1/1 0:00:00各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00據coindesk報道,一家位于紐約的初創公司GoTenna將在今年夏天推出一個安卓應用程序txTenna,用戶可以在沒有互聯網連接的情況下發起數字貨幣交易.
1900/1/1 0:00:00Blur近日聯合Paradigm推出Blend這一P2PNFT借貸協議,以及基于此實現的貸款買NFT的功能.
1900/1/1 0:00:00
買比特幣
