作者|秦晓峰编辑|Mandy出品|Odaily星球日报
DeFi流动性挖矿爆红,造富神话当前,之前踏空的老韭菜也按捺不住,纷纷下场。但你永远不知道,意外和暴富,哪一个会先来。DeFi协议SushiSwap刚运行3天,锁定资产总价值就已超过7亿美元。SushiSwap的逻辑很像Uniswap,也是为提供流动性的用户提供奖励,但玩法有一点不同。Uniswap的逻辑是仅在LP提供流动性的时候,才能获得0.3%的手续费奖励,一旦Uniswap的LP停止提供流动性,奖励也随之停止。为了鼓励大家使用SUSHI,项目方将SUSHI/ETH这个池子设计为2倍奖励,据此计算,年化暂时高达9500%。但是币生币之前也需要用户的操作,老“韭菜”玩DeFi,一不小心就踩了坑。SushiSwap运行流动性挖矿的第二天,就出现了用户错误转币的情况。8月30日,SushiSwap项目官方人员@ChefNomi发布推特,称有用户向其Token智能合约地址转账40万USDT。并且,SushiSwap团队表示,转入该智能合约的代币将无法提取。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
Odaily查询发现,上述40万USDT是分两笔从Gate交易所转出,时间仅相差一小时。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
苦主是Gate交易所实习打币员吗?不,是Gate的用户。8月30日当天,Gate官方第一时间回应称:此举为用户个人操作转错。这个用户是谁?币乎用户@冰棒爆料称,是币圈自媒体「王团长区块链」创始人王团长。根据@冰棒晒出的截图,王团长在社交媒体上四处求助,试图联系Gate或SushiSwap官方人员,让官方回滚交易或者直接提取误转的代币。
但SushiSwap官方已经表明态度:回滚是不可能回滚的,这辈子是不可能回滚的,除非Tether耍赖自己回滚。
为什么官方不能直接提币还给用户?慢雾安全团队告诉Odaily星球日报,在分析了SushiSwap代币合约后发现,该智能合约没有预留代币取出接口,用户误转入的代币,相当于转到了零地址,永久被锁死在区块链世界中。“如果项目方保留最高提取权,其实是可以提币的。但为了去中心化,很多项目取消了最高控制权。因此,也就无法提币。”BlockArk联合创始人墨客告诉Odaily星球日报。如果SushiSwap官方真地提取出了代币还给用户,相当于直接昭告天下,该智能合约存在后门,项目方可以为所欲为,对于项目而言将是毁灭性的打击。毕竟,在区块链的世界,Codeislaw。因此,SushiSwap官方也在最开始表明态度:深表遗憾,无能为力。实际上,除了上述的40万USDT,该还收到了其他用户失误转账。Odaily星球日报查询发现,从该项目运行以来,代币智能合约累计收到8笔转账,累计收到40万USDT、18086个AMPL、1100个SUSHI。
值得注意的是,AMPL的发送方同样是Gate,另外王团长在公众号中表示重仓了20万元的AMPL。因此,这笔钱的苦主大概率也是其本人。相信读到这里,大多数人都有一个困惑:既然代币智能合约不能提币,为什么这么多铁憨憨会往其中打币?慢雾安全团队揭示了其中的奥秘:不懂DeFi玩法+为了省下Gas费。参与流动性挖矿的标准操作是:从交易所提币到用户自己钱包地址;打开流动性挖矿项目网站,点击相应挖矿池,调出智能合约;从网页钱包授权,向项目的智能合约转账。上述过程的第一步和第三部都要用到链上转账,也就需要用户支付Gas费用。于是,一些「聪明人」想着,直接省略第一步,从交易所直接向项目智能合约打币,这也就有了文章开头的一幕。为什么不能从交易所直接转账呢?慢雾安全团队表示,正常操作流程是使用个人钱包在官方网站进行操作,官方会有一个上层路由合约去执行用户需要的具体操作(兑换、提供流动性等);但如果直接打币进入智能合约,则不会触发相应操作。“因此建议用户,在不熟悉具体操作流程的情况下,尽量使用官方的网站进行操作,避免失误造成资产损失。”最后,Odaily星球日报也想提醒各位有志于成为「农民」的朋友:参与挖矿时候,首选经过代码安全审计的项目,国内比较有代表性的相关安全团队有:慢雾、派盾、成都链安等;一定要清楚挖矿的流程,懂得公钥、私钥等关键概念,能够熟练使用网页钱包转账;挖矿时,不要为了省Gas费,从交易所直接转账进入项目,否则资产将会被锁定且无法取回;最后,一些挖矿项目会在代码中添加钱包私钥授权,直接掌握用户热钱包。因此,重要资产不要放在网页钱包中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。