[安全团队:DFX Finance攻击者获利逾23万美元]11月11日消息,据慢雾安全团队情报,ETH链上的DFX Finance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:
1. 攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。
2. 紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。
3. 存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。
4. 由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。
5. 最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。
此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
安全团队:宣传钓鱼网站的虚假KUSD空投代币已转至多个钱包:金色财经报道,据CertiK监测,一种假的KUSD空投代币已经转移到多个钱包,该代币实际上是在为钓鱼网站打广告。[2023/7/23 15:53:37]
安全团队:约340枚ETH的Curve被盗资金被分别转入Tornado Cash、FixedFloat和币安:金色财经报道,据派盾(PeckShield)监测,Curve的被盗资金约有27.7枚ETH转移至TornadoCash,约292枚ETH转移至FixedFloat,约20枚ETH转移至币安。
此前消息,加密交易所FixedFloat发推称,其安全部门已经冻结部分转入其平台的Curve被盗资金,数量为112枚ETH。[2022/8/10 12:14:53]
安全团队:Voltz Labs的Discord服务器遭黑客入侵并发布钓鱼链接:6月29日消息,安全团队CertiK今日发推文称,非托管自动化做市商Voltz Labs的Discord服务器已被入侵,其官方Discord的公告频道中发布了钓鱼链接,所有其他频道已关闭观看。
此前消息,Voltz Labs于去年12月完成Framework Ventures领投的600万美元种子轮融资。[2022/6/29 1:38:19]
郑重声明: 安全团队:DFX Finance攻击者获利逾23万美元版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。