買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 幣贏 > Info

CRV:慢霧:Value DeFi 協議閃電貸攻擊簡要分析_USD

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,2020年11月15日,ValueDeFi的ValueDeFiMultiStables保險庫遭遇閃電貸攻擊,慢霧安全團隊于第一時間跟進并進行相關分析,以簡要的形式呈現給大家,供大家參考。

1.攻擊者首先從Aave中借出80000個ETH,為攻擊做準備;

2.攻擊者使用80000個ETH在UniswapWETH/DAI池中用閃電貸借出大量的DAI和在UniswapWETH/DAI兌換出大量的USDT;

慢霧:Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者(0x0d0...D00)獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址,并將代幣兌換為 ETH,接著將 ETH 均轉回初始地址(0x0d0...D00),目前地址(0x0d0...D00)約 85,837 ETH 暫無轉移,同時,攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

3.用戶調用ValueMultiVaultBank合約的deposit合約使用第2步中小部分的DAI進行充值,ValueMultiVaultBank合約中一共有3種資產,分別是3CRV、bCRV、和cCRV。ValueMultiVaultBank??合約在鑄幣的時候會將合約中的bCRV,cCRV轉換成以3CRV進行計價,轉化的途徑為bCRV/cCRV->USDC->3CRV。其中USDC->3CRV使用的是DAI/USDC/USD池中USDC/3CRV的價格。轉換完成后,ValueDefi合約根據合約中總的3CRV的價值和攻擊者充值的DAI數量計算mVUSD鑄幣的數量;

慢霧:去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息,2022年3月29日,Acutus的ACOWriter合約遭受攻擊,其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控,攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

4.攻擊者在CurveDAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兌換USDC,拉高DAI/USDC/USDT池中的USDC/3CRV的價格

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

5.攻擊者在ValueMultiVaultBank??合約中發起3CRV提現,此時ValueMultiVaultBank??合約和第3步一樣,會先將合約中的bCRV,cCRV轉換成以3CRV計價,由于在第4步中,USDC/3CRV的價格已經被拉高,導致換算的過程中,ValueMultiVaultBank??合約中的bCRV,cCRV能換算成更多的3CRV,也就是說使用同等份額的mVUSD可以換取更多的3CRV;

6.拿到3CRV后,攻擊者到Curve的DAI/USDC/USDT池中使用3CRV換回DAI,并在Uniswap中兌換回ETH,然后歸還Aave的閃電貸。

總結:由于ValueDefi合約在鑄幣過程中將合約資產轉換成3CRV時依賴CurveDAI/USDC/USDT池中USDC/3CRV的價格,導致攻擊者可以通過操控CurveDAI/USDC/USDT池中USDC/3CRV的價格來操控mVUSD/3CRV的價值,從而獲利。

相關鏈接:

(1)分析樣本:

https://etherscan.io/tx/0x46a03488247425f845e444b9c10b52ba3c14927c687d38287c0faddc7471150a

Tags:CRVUSD3CRVSDCConvex CRVusdn幣今天價格3CRV價格usdc幣是誰發行的

幣贏
DEFI:DeFi項目DerivaDEX將推出保險挖礦并公布代幣模型概況_DEF

去中心化衍生品交易平臺DerivaDEX宣布將在近期推出保險挖礦計劃,并公布了代幣模型概況。DerivaDEX的保險挖礦計劃是一個用于DerivaDEX協議保險資金的獨特系統,由去中心化自治組織.

1900/1/1 0:00:00
TOKEN:OKEx投研:4小時級別MACD持續背離,有效跌破16460后或開啟短期回調_MX Token

根據OKEx現貨顯示,BTC暫報16650.7美元。OKB暫報4.81美元。根據OKEx永續合約顯示,昨日BTC在企穩于15750后開啟逐步放量上漲行情,在突破前高16460后雖繼續縮量突破至1.

1900/1/1 0:00:00
BIP:外媒:400家美國醫院面臨比特幣勒索軟件攻擊的危險_我有20個比特幣能套現嗎知乎

據Cryptobriefing消息,美國聯邦調查局和國土安全部發出警告,稱該國醫療保健系統遭到了比特幣勒索軟件的協同攻擊.

1900/1/1 0:00:00
BTC:分析:行情觸底反彈后受阻,BTC或將延續整理趨勢_比特幣

據Gate.io全球交易數據,截止12月12日11:20,BTC現貨報18289.28美元,昨日在下探觸底17600美元后,開啟持續反彈,但力度受限未能突破昨日最高報價.

1900/1/1 0:00:00
AIN:ChaiNext:大盤市場情緒調整過后迎來反彈_DrinkChain

北京時間12月25日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報1968.43點,過去24小時上漲3.30%,成交額911.04億美元,成交較前24小時減少18.21%.

1900/1/1 0:00:00
區塊鏈:螞蟻集團發布《區塊鏈政務白皮書》_ESG

由螞蟻集團螞蟻鏈和阿里云聯合主辦,武漢市人民政府、武漢市經信局戰略支持的“鏈X云”英雄城市峰會暨湖北省區塊鏈產業生態全面升級啟動會在武漢正式開幕.

1900/1/1 0:00:00
ads