買比特幣 買比特幣
Ctrl+D 買比特幣
ads

UND:Hundred 與 Agave 閃電貸攻擊事件分析_ING

Author:

Time:1900/1/1 0:00:00

1.前言

北京時間3月15日晚,知道創宇區塊鏈安全實驗室?監測到Gnosis鏈上的借貸類協議?HundredFinance與Agave?均遭遇了閃電貸襲擊,包括?AAVE的分支Agave?和?Compound的分支HundredFinance?。協議損失超1100萬美元。目前?項目方已暫停其數百個市場。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

2.分析

對沖基金Hunting Hill啟動數字資產子公司Hunting Hill Digital:金色財經報道,對沖基金 Hunting Hill Global Capital 啟動數字資產子公司 Hunting Hill Digital。知情人士表示,其首款產品將為 Crypto 25 Fund,最初管理的資產規模為 2000 萬至 2500 萬美元,該產品的策略將專注于按市值、流動性和性能排名前 25 位的加密貨幣。

此前報道,Genesis 前高管 Matt Ballensweig 曾在去年 12 月中旬向一位潛在投資者表示,其籌劃的名為 Hunting Hill Digital 的基金已經以 3000 萬美元的投后估值從 Bessemer Venture Partners 融資 250 萬美元,并正在另外籌集 500 萬美元。[2023/5/24 22:15:10]

2.1攻擊者相關信息

安全公司:BSC上項目HUNTER發生Rug Pull,損失達120萬美元:5月8日消息,據CertiK監測,HUNTER項目(代幣為Hound)發生Rug Pull,損失達120萬美元。目前其Discord、電報頻道已經關閉,官方網站也不可用。其BSC鏈上合約地址為:0x1e4402Fa427a7A835fC64ea6d051404ce767A569。[2022/5/8 2:58:45]

HundredFinance被攻擊tx:

0x534b84f657883ddc1b66a314e8b392feb35024afdec61dfe8e7c510cfac1a098

攻擊合約:0xdbf225e3d626ec31f502d435b0f72d82b08e1bdd

Huntingdon Valley Bank向MakerDAO提交抵押品引入申請:3月26日消息,Maker發推稱,一家成立于1871年的賓夕法尼亞特許銀行Huntingdon Valley Bank已經向MakerDAO提交了一份抵押品引入(Collateral Onboarding)申請。如果該申請得到Governance的批準,這將是美國銀行首次將抵押品集成到DeFi生態系統中。

該申請提出了一種法律結構,其中Huntingdon Valley Bank與一家信托公司簽訂了一份主要購買協議,以使MakerDAO受益。該法律結構還有意在未來納入更多銀行。擬議的第一投資組合購買協議是為了平等參與由Huntingdon Valley Bank發起的貸款,或從其他金融機構購買或銀團貸款。該申請還要求Huntingdon Valley Bank參與貸款的初始債務上限為1億美元,這些貸款在所有擬議的貸款類別中多樣化,從開始后的12至24個月期間進行部署。[2022/3/27 14:19:49]

攻擊地址:0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

多鏈NFT游戲Blockchain Monster Hunt融資380萬美元,Animoca Brands領投:10月12日消息,多鏈 NFT 游戲 Blockchain Monster Hunt 完成 380 萬美元融資,Animoca Brands 領投,HECO、Polygon、PNetwork、Polkastarter、SkyVision、ChainBoost、GD10 Venture、Everse Capital、Polkastarter、MoonEdge、MorningStar Ventures、Delta Blockchain Fund、HyperEdge、Hyperion Alpha、Safe Launch、Ignition、Chainflow、Double Peak、DWeb3、ZBSCapital 等參投,所籌資金將用于推廣其首款基于多個區塊鏈的 NFT 游戲,11 月初游戲將首先在以太坊、BSC 和 Polygon 上運行,隨后將擴展到其他 EVM 以及非 EVM 鏈。[2021/10/12 20:23:37]

攻擊后跨鏈匿名化:https://etherscan.io/txs?a=0xd041ad9aae5cf96b21c3ffcb303a0cb80779e358

礦工Wang Chun:DeFi用戶每天都在支付巨額費用:礦工Wang Chun(F2Pool)今日在推特表示,DeFi用戶每天都在支付巨額費用,而且他們要給礦工,挖礦對他們來說一直是一個神話。反之亦然。這是ETH社區的眼淚。[2021/5/29 22:55:07]

Agave被攻擊tx:

0xa262141abcf7c127b88b4042aee8bf601f4f3372c9471dbd75cb54e76524f18e

攻擊合約:0xF98169301B06e906AF7f9b719204AA10D1F160d6

攻擊地址:0x0a16a85be44627c10cee75db06b169c7bc76de2c

攻擊后跨鏈匿名化:https://etherscan.io/txs?a=0x0a16a85be44627c10cee75db06b169c7bc76de2c

2.2攻擊流程

由于HundredFinance與Agave攻擊流程與手法類似,因此我們使用HundredFinance進行分析。

HundredFinance攻擊調用流程

1、攻擊者利用合約在三個池子中利用閃電貸借出WXDAI和USDC

2、在WETH池子質押借出的部分USDC

3、利用重入利用一筆質押,超額借出池子中資金

4、重復質押-重入借出步驟,將其他兩個池子資產超額借出

5、歸還閃電貸

6、獲利轉移

2.3漏洞細節

導致本次問題的根本原因是由于在Gnosis鏈上的官方橋接代幣xDAI合約中實現了一個對于to地址的回調(callAfterTransfer函數)

合約實現地址:

https://blockscout.com/xdai/mainnet/address/0xf8D1677c8a0c961938bf2f9aDc3F3CFDA759A9d9/contracts

該回調將直接導致重入漏洞的產生,同時由于在HundredFinance團隊fork的Compound版本中沒有嚴格遵循檢查-生效-交互,進而導致了總借貸量更新晚于重入實現。最終攻擊者得以超額借貸。

類似的,對于Agave項目方,攻擊者利用liquidateCall函數內部調用會調用xDAI的?callAfterTransfer?方法進行回調,最終導致攻擊者能再次進行借貸。

在HundredFinance攻擊中攻擊者重入的調用路徑如下:

在Agave攻擊中攻擊者回調路徑如下:

3.總結

此次遭受攻擊的兩個借貸項目由于錯誤的引入了存在重入的token,同時項目方的fork的代碼沒有采用檢查-生效-交互模式導致了問題的發生。

我們強調:對于一個優秀的項目的引用必須建立在足夠的理解和嚴謹的開發上,尤其是存在差異化的部分,切忌顧此失彼最終因為一個小的差錯導致項目全部的損失。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:UNTHUNTUNDINGBlockchain Monster HuntBHUNT價格ThunderCoreTKING價格

pepe最新價格
元宇宙:重磅圖譜發布:元宇宙的盡頭是這1062家企業_以太坊

“2022元宇宙系列報告”第一輯:立方知造局重磅推出《元宇宙技術圖譜》: 數十份深度研究報告 頭部企業高管、專家一對一深度訪談 探底元宇宙六大核心技術 網羅全球1062家入局企業解密下一個二十年.

1900/1/1 0:00:00
加密貨幣:美國加強數字資產監管協調 拜登鼓勵美聯儲評估“數字美元”_數字資產類應用案例包括

各國政府對以“數字貨幣”為名的數字資產正在加強監管,最新表態的是美國。當地時間3月9日,美國總統拜登簽署了一項名為確保數字資產負責任發展的行政命令,要求該國政府機構協調數字資產監管.

1900/1/1 0:00:00
COIN:金色觀察 | 新入場投資者主導虧損賣出 長期投資者看漲_比特幣是干嘛用的

最近一周以來,加密市場正經歷多番震蕩,在上升到44000美金以上后下探跌破38000美金,不過隨著3月9日發布的拜登令顯示要求對數字資產政策采取協調和全面的方法后,行情再度突破41000美元.

1900/1/1 0:00:00
ETH:加密交易所內ETH余額跌至2018年以來最低水平_以太坊

今年迄今為止,價值近16.1億美元的以太坊代幣已經流出加密交易所。而以太坊協議可能在今年夏天全面過渡到PoS共識.

1900/1/1 0:00:00
FTC:加密監管:全球央行各顯神通_FTC價格

進入2022年,全世界范圍內,針對加密監管的討論不斷升級,措施不斷推進。該行業將迎來“更廣泛的新的監管”,這些監管政策隨時都將左右加密市場.

1900/1/1 0:00:00
ART:NFT深度分析:屬性、歷程、平臺、營銷模式、場景等_NFT

引言 隨著全球數字經濟加速發展,加密資產及元宇宙概念暴熱,2021年以來NFT迎來了爆發性增長,逐步成為市場最熱的投資風向標之一.

1900/1/1 0:00:00
ads