鏈聞消息,據慢霧區,波卡生態IDO平臺Polkatrain于今早發生事故,本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。
慢霧:蘋果發布可導致任意代碼執行的嚴重漏洞提醒,請及時更新:7月11日消息,慢霧首席信息安全官23pds發推稱,近日蘋果發布嚴重漏洞提醒,官方稱漏洞CVE-2023-37450可以在用戶訪問惡意網頁時導致在你的設備上任意代碼執行,據信這個已經存在被利用的情況,任意代碼危害嚴重,請及時更新。[2023/7/11 10:47:05]
慢霧:過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息,慢霧發推稱,過去一周Web3生態系統因安全事件損失近160萬美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
BTC下周大趨勢分析:清明時節雨紛紛,路上行人欲斷魂,幣市這幾天走勢也是恐怖至極,以太坊無限拉高刷線高位,數字貨幣沒有太多基本面參考.
1900/1/1 0:00:00尊敬的ZT用戶: MAPS、PROPS、TORN、SOVI、CFX雙重壕禮活動已結束。活動獎勵已于4月2日發放至用戶ZT賬戶中,用戶可登陸自己ZT賬戶,在資產中查看是否已到賬.
1900/1/1 0:00:00作者|秦曉峰 編輯|郝方舟 出品|Odaily星球日報????? 一、整體概述 根據Trustnodes數據,以太坊創始人V神的凈資產估值已升至約7億美元.
1900/1/1 0:00:00>","16:"http:///page/news/notice/2020/1016/ch_1634.html"|27:"12"|31:2"],,,,,,,,,,,,,,,,,,,,,,
1900/1/1 0:00:00鏈聞消息,以太坊二層擴容項目CelerNetwork現已將其DeFi擴容提速解決方案Layer2.finance測試網部署到Ropsten上,并推出測試競賽活動.
1900/1/1 0:00:00?行情回顧: 從昨日走勢上來看,行情在下跌中遇阻關鍵支撐點56600附近以后開始進行反彈,在昨日的分析中玉荷就有表示,如能強勢跌破56600行情將會大幅度下跌,不能則將有支撐上行.
1900/1/1 0:00:00