慢雾:Inverse Finance遭遇闪电贷攻击简析

快讯 (阅读:)

[慢雾:Inverse Finance遭遇闪电贷攻击简析]据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。

其它快讯:

慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:

1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。

综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

慢雾:Ribbon Finance遭遇DNS攻击,某用户损失16.5 WBTC:6月24日消息,Ribbon Finance 发推表示遭遇 DNS 攻击,慢雾MistTrack通过链上分析发现攻击者与今天早前的Convex Finance 攻击者是同一个,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻击者共用的用来调用恶意合约的钱包地址。同时分析发现,Ribbon Finance某用户在攻击中损失了 16.5 WBTC,具体交易为:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]

郑重声明: 慢雾:Inverse Finance遭遇闪电贷攻击简析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • 全网 DeFi 抵押借贷 24 小时清算量达 1.2 亿美元

    [2022-6-19 4:38:48]6月19日消息,据欧科云链链上大师数据显示,过去 24 小时全网 DeFi 抵押借贷清算金额共计 1.2 亿美元。其中,DeFi 借贷协议 Liquity 的清算量占比近 50%,为 6146 万美元,其次分别为 C...

  • 美国轻奢品牌蔻驰将在日本推出限量版NFT

    [2022-6-20 4:40:11]6月20日消息,美国知名轻奢品牌蔻驰(COACH)和Web3工作室1BLOCK达成合作,将推出限量版NFT。据悉,1BLOCK推出的MetaSamuria项目由漫画和武士宇宙启发的8888个独特NFT组成,每个NFT...

  • Immutable宣布推出5亿美元风投基金以促进Web3游戏采用

    [2022-6-17 4:35:22]6月17日消息,以太坊NFT扩容方案提供商Immutable宣布推出5亿美元风投基金以促进Web3游戏采用。这笔资金将用于资助在其L2扩展平台Immutable X上构建Web3游戏和NFT的项目。此外,该基金还将与...

  • 数据:最大BTC鲸鱼在本月购入了927枚BTC

    [2022-6-16 4:32:37]金色财经报道,Watcher.Guru发推称,最大的比特币鲸鱼在本月购买了927枚BTC(约20,000,000美元)。 其它快讯: 数据:3000BTC从币安转移到了Bitfinex:金色财经消息,...

  • DeFi协议总锁仓量跌至749.9亿美元,24小时内跌超5%

    [2022-6-17 4:35:33]金色财经报道,据DefiLlama数据显示,DeFi协议总锁仓量(TVL)达到749.9亿美元,24小时跌幅为5.12%。TVL排名前五分别为MakerDAO(75.9亿美元)、AAVE(56.8亿美元)、Curve...

  • 慢雾:Inverse Finance遭遇闪电贷攻击简析

    [2022-6-16 4:32:58]据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下: 1.攻击者先从AAVE闪电贷借出2...

  • 调查:80%的受访ESG投资者同时持有加密货币

    [2022-6-18 4:36:09]6月17日消息,2021年,环境、社会和公司治理(ESG)投资吸引了创纪录水平的新资金。Morningstar的数据显示,这类美国可持续基金在去年吸引了近700亿美元的资金,比2020年之前的高点增加了35%。 ...

  • 报告:预计到2030年NFT市场规模将达到2120亿美元

    [2022-6-17 4:34:07]6月17日消息,Acumen Research and Consulting最近发布报告《2022-2030年NFT市场规模、份额、分析报告和区域预测》。报告称,2021年,全球NFT市场的规模为160亿美元,预计到...

  • 以太坊在985美元附近存在近2亿美元链上借贷清算额度

    [2022-6-16 4:32:54]6月16日消息,据parsec.finance数据显示,以太坊在985美元附近存在约 1.95 亿美元链上借贷清算额度,额度主要由Aave组成。 其它快讯: 以太坊链上比特币锚定币数量较20日前历史高...

  • 一名狗狗币投资者起诉马斯克并索赔2580亿美元指控后者“实施金字塔计划”

    [2022-6-17 4:33:08]6月17日消息,一名狗狗币投资者当地时间周四将特斯拉CEO马斯克告上法庭,指控后者为支持狗狗币而实施金字塔计划,向其索赔2580亿美元。在一份提交给曼哈顿联邦法院的诉状中,原告Keith Johnson指控马斯克、特...

  • Ari Paul:当前的加密市场与2000年科技股崩盘类似

    [2022-6-16 4:32:17]金色财经消息,区块链投资公司Blocktower Capital创始人Ari Paul发推称,现在的加密货币市场情况类似于2000年科技股崩溃。Paul将比特币看作是亚马逊,后者是在科技股崩溃中幸存下来的公司之一。 ...

金宝趣谈

[0:0ms0-7:0ms