CELO:安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析_cel幣為什么被下架

10月19日消息，據BeosinEagleEyeWeb3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金.第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02CELO提高到0.73CELO。第五步：攻擊者進行了累計4次抵押MOO，10次swap，28次借貸，達到獲利過程。本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過BeosinTrace追蹤發現攻擊者將約93.1%的所得資金返還給了MoolaMarket項目方，將50萬CELO捐給了impactmarket。自己留下了總計65萬個CELO作為賞金。

安全團隊：BSC上的ORT)項?遭受攻擊:1月17日消息，據Fairyproof監測，BSC上的 OMNI Real Estate Token (ORT) 項?遭受攻擊，攻擊原因疑似為合約代碼有漏洞。

攻擊者地址為：0x9BbD94506398a1459F0Cd3B2638512627390255e，其中?個攻擊合約為

0x0eFfECA3dBCBcda4d5e4515829b0d42181700606，攻擊初始gas來源 FixedFloat熱錢包，攻擊者獲利超過236個BNB，價值約70705美元。

漏洞合約為項?的 StakingPool合約，在 _Check_reward 函數中，當 durations 為0時，條件判斷沒有覆蓋，會返回?個上次的全局變量值（預期外的值），造成獎勵計算錯誤。

攻擊者調?invest函數時， end_date 輸?為0，此時合約未驗證?戶輸?，因此合約可以繼續運?， duration[msg.sender] = 0 ,?在 _Check_reward 函數中也未驗證 durations 的值，并且在 _Check_reward 函數中使?了全局變量來參與計算，多重因素造成了?錯誤的獎勵值。[2023/1/17 11:15:57]

安全團隊：DAO Maker攻擊者關聯地址已將部分資金轉至Tornado Cash:9月12日消息，據PeckShield數據監測，DAO Maker攻擊者關聯地址向Tornado Cash轉入100枚ETH（約合17.5萬美元）和40萬枚DAI。[2022/9/12 13:23:39]

安全團隊：約有440個地址接收到通過Tornado Cash發送的0.1枚ETH:金色財經報道，據派盾（PeckShield）監測，約有440個地址接收到通過Tornado Cash發送的0.1枚ETH。

此前消息，自Tornado Cash被制裁以來，有人正在將少量ETH從受制裁的Tornado Cash錢包發送到知名加密個人和名人的各種錢包。此舉似乎是對協議受到美國財政部海外資產控制辦公室（OFAC）打擊的某種抗議。[2022/8/10 12:15:54]

Tags：CELOCELMOOTornado.CashWCELOcel幣為什么被下架CEOMOO

酷幣下載