巴比特讯,据慢雾区情报,2021年9月12日,Avalanche上ZabuFinance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家。
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
FTX CEO:网络安全公司Sygnia就黑客攻击事件向FTX提供咨询:金色财经报道,FTX新任首席执行官John J. Ray III周一在特拉华州破产法庭上表示,在 FTX 去年 11 月遭受大规模黑客攻击后,网络安全公司Sygnia正在该公司提供建议,Ray表示:“这个案例是关于网络安全的失败,他们的服务至关重要,正如我们在 [11 月] 日早上醒来时所看到的那样,黑客攻击正在发生,这家公司不仅有助于阻止这种情况,而且还重建了一个高度安全的环境,因为加密资产的性质和它们的脆弱性”。[2023/2/7 11:50:42]
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
动态 | 网络安全公司在Make-A-Wish基金会网站上检测到加密恶意软件:据cointelegraph消息,近日,网络安全公司Trustwave发布的一份报告称,黑客已经通过加密劫持恶意软件感染了全球非营利组织Make-A-Wish基金会的网站。据Trustwave研究人员称,加密恶意软件设法将一个JavaScript(JS)矿工CoinImp纳入域名worldwish.org,以便非法挖掘以隐私为特点的加密货币 Monero(XMR)。与臭名昭着的Monero采矿软件CoinHive类似,CoinIMP据报道利用网站访问者的计算能力挖掘加密货币。
根据该报告,CoinImp脚本通过drupalupdates.tk域感染了该网站,该域与另一个自2018年5月以来利用关键Drupal漏洞破坏网站的广告系列相关联。研究人员指出,最近检测到的活动部署了许多技术来逃避检测,包括改变其已经混淆的域名,以及WebSocket代理中的不同域和IP 。Trustwave联系了Make-A-Wish以报告加密劫持攻击,但基金会没有回应。在Trustwave试图访问基金会后不久,恶意注入的脚本被删除。[2018/11/21]
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
InvestDigital智能合约通过区块链安全公司审计 获赞合约模范:5月30日,InvestDigital正式通过顶级区块链安全技术机构安全审计,其智能合约安全、代码编写质量获得审计团队高度赞赏,被评值得推荐!近日,一系列EOS高危安全漏洞事件,让智能合约安全问题重回大众视野。InvestDigital此次通过审计并获评优秀,充分显示了团队的技术实力和项目潜力!未来,InvestDigital团队在深耕技术安全的同时,将加快打造数字资产投资生态。[2018/5/30]
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。
参考:
攻击合约1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400
攻击合约2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd
抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb
攻击交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3
获利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。