巴比特訊,據慢霧區情報,2021年9月12日,Avalanche上ZabuFinance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。
2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。
前BitGo、Curv高管推出新的加密錢包安全公司Fordefi:11月5日消息,前BitGo、Curv高管Josh Schwartz推出新的加密錢包安全公司Fordefi,Fordefi提供了一個允許機構參與各種鏈的錢包平臺。
Fordefi表示,使用安全的多方計算 (MPC) 以一種更難以妥協的方式分配用戶的私鑰,它將允許用戶自動化他們與區塊鏈和智能合約的互動。Fordefi的25人團隊位于以色列和紐約,其中包括Michael Volfman和Dima Kogan。該公司聘請了斯坦福大學的加密貨幣教授Dan Boneh和前Curv首席執行官Itay Malinger作為顧問。(The Block)[2022/11/5 12:18:25]
3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。
安全公司:第二季度基于瀏覽器的加密劫持活動增加了163%:網絡安全公司賽門鐵克(symantec)發布的最新研究顯示,3月以來加密價格飆升伴隨著一波加密劫持攻擊。到2020年第二季度,基于瀏覽器的加密劫持活動增加了163%。而由于加密挖礦程序CoinHive的關閉,加密劫持此前一直較2019年3月急劇下降。symantec指出,上一季度的增長與比特幣和門羅幣的價值上漲同時出現,這兩種加密貨幣經常被威脅者用于基于瀏覽器的加密惡意軟件挖掘。(cointelegraph)[2020/8/26]
4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。
聲音 | 網絡安全公司CEO:預計只有20%失竊數字資產能夠被追回:據CNBC刊文,美國網絡安全公司Ciphertrace的首席執行官David Jevans表示,在交易所或交易平臺被黑客入侵的數字資產失竊案例中,或許只有五分之一的被盜硬幣能夠最終被收回,因為數字資產可以輕松跨越多個邊界。 他還指出,你必須讓五個國家執法部門介入,才可能有足夠的時間,并有足夠的證據來立案,而當他們同意并開始獲取信息,準備所有的文件時,錢已經被轉移了。[2018/10/18]
此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。
參考:
攻擊合約1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400
攻擊合約2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd
抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb
攻擊交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3
獲利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac
據Businesswire報道,OriginClearInc.宣布與總部位于圣地亞哥的BajaTechnologiesInc.達成合作,以開發并幫助推出其新的加密貨幣ClearAqua.
1900/1/1 0:00:00來源:數字資產研究CIDA 作者:朱嘉明 原標題:《朱嘉明:我們要通過元宇宙,重新構建21世紀人類未來的教育體系》編者按:2021年9月10日.
1900/1/1 0:00:00注:原文來自bankless,作者是WilliamM.Peaster。如果我問你,“最古老的以太坊藝術市場是什么”,你會怎么回答? 如果你的第一個猜測是在2015年7月以太坊主網啟動之后發生的事.
1900/1/1 0:00:00技術開發進展 Bytom2.0合約 summoner合約語言開發:variableindex、大立即數生成、label重定位、匯編輸出 NFT平臺 設計NFT微服務的數據庫和定義接口 NFT前端.
1900/1/1 0:00:00巴比特訊,9月30日,在中南數字文創谷舉行的第十七屆中國國際動漫節“中南日”發布會現場,趣鏈科技與中南卡通就數字文化版權保護平臺——版釘平臺達成戰略合作.
1900/1/1 0:00:00盡管只有十幾年的歷史,并且在公眾視野下時間很短,但是Crypto獲得了極大的歡迎,已經超過了2萬億美元的估值,擊敗了蘋果和微軟這樣的大公司.
1900/1/1 0:00:00