慢雾:Avalanche链上Zabu Finance被黑简析

[慢雾:Avalanche链上Zabu Finance被黑简析]据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:

1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。

慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。

慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]

郑重声明: 慢雾:Avalanche链上Zabu Finance被黑简析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • 过去24小时内超10亿美元的ETH进行转移

    [2021-9-13 23:19:49]金色财经报道,Whale Alert数据显示,在过去的 24 小时内,在加密货币鲸鱼发起的大规模交易中,有近318,000个以太坊被转移。这些转移是在匿名钱包之间进行的,以及从交易所转移到没有注册所有者的钱包。其中最...

  • Argo Blockchain将在纳斯达克发行750万股ADS 预计融资约1亿英镑

    [2021-9-14 23:23:55]9月14日消息,英国上市矿企Argo Blockchain将在纳斯达克发行美国存托股票 (ADS),以目前的市场价格,这将筹集约1亿英镑。该公司在一份声明中表示,将在计划的首次公开募股中出售750万股美国存托股票,每...

  • 金融科技公司MoneyLion推出加密货币投资服务

    [2021-9-14 23:23:27]9月14日消息,金融科技公司MoneyLion即将于9月22日通过与特殊目的收购公司 Fusion Acquisition Corp.合并的方式登陆纽交所,股票代码为ML。上市后市值有望达到29亿美元。周一,该公司C...

  • Hackathon DAO获得10万美金捐助

    [2021-9-13 23:20:55]据官方消息,Hackathon DAO启动并获得第一笔10万美金捐助,资助方为DoraHacks。Hackathon DAO的使命是资助全球范围内的开发者社区及黑客马拉松组织者,鼓励去中心化、无许可的开源创新,推进开...

  • 比特币矿业公司Greenidge预计于9月15日在纳斯达克上市

    [2021-9-14 23:23:08]金色财经报道,比特币矿业公司Greenidge Generation Holdings Inc与技术支持公司Support.com之间的合并将于9月14日完成。Greenidge的A类普通股将于9月15日在纳斯达克上...

  • 慢雾:Avalanche链上Zabu Finance被黑简析

    [2021-9-12 23:19:21]据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考: 1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangol...

  • Lobby Lobster NFT DAO将其400万美元NFT销售额捐赠给Coin Center

    [2021-9-13 23:20:27]9月13日消息,A DAO已经投票决定将其通过出售1万件“Lobby Lobster”NFT筹集的400万美元加密货币捐赠给华盛顿加密游说组织Coin Center。 此前消息,NFT平台和社区Univer...

  • DFINITY生态去中心化社交媒体网络Distrikt发布安卓版客户端

    [2021-9-15 23:26:22]9月15日消息,由DFINITY互联网计算机提供支持的去中心化社交媒体网络Distrikt已发布安卓版本客户端,用户可以通过GooglePlayStore安装下载,此前Distrikt已上线Web端应用。Distri...

  • dTrade做市商基金完成2280万美元融资,Polychain等参投

    [2021-9-14 23:24:52]9月14日消息,去中心化衍生品交易所dTrade宣布其做市商基金完成2280万美元融资,参投机构包括Hypersphere、Polychain、DeFiance、Alameda、CMS、Divergence、MGNR...

  • BlockFi CEO:加密贷款是消费者想要的服务,相信美国希望引领这个行业

    [2021-9-14 23:23:21]9月14日消息,BlockFi首席执行官Zac Prince认为,不管有多少州政府指责,加密贷款行业将生存下来。据悉,BlockFi的计息加密账户已在美国至少五个州受到审查。他在天桥资本(SkyBridge Capi...

  • 金色午报 | 9月13日午间重要动态一览

    [2021-9-13 23:20:47]7:00-12:00关键词:以太坊、NFT、Cardano 1.以太坊9月12日全网平均算力达677.92TH/s,创历史新高; 2.Bithumb正招聘信息技术人才,年薪至少增加1.5倍; ...

链链资讯

[0:15ms0-3:313ms