[慢雾余弦:Munchables某开发者系朝鲜黑客,其在获得团队信任后发起攻击]金色财经报道,慢雾创始人余弦就Munchables遭受攻击一事在X平台发文表示,Blast上的这个协议Munchables被盗6250万美元,损失真大了。按链上侦探ZachXBT的调查,是因为他们的一位开发者是朝鲜黑客,这是我们遇到的至少第二起DeFi类项目遭遇的这类情况了。核心开发者伪装潜伏很久,获得整个team的信任,时机一到就下手了,毫不留情。受害者恐怕不少,我们会紧密跟进。
金色财经此前报道,Blast生态项目Munchables遭攻击,损失约6230万美元。
其它快讯:
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 10:35:41]
声音 | 慢雾余弦:未来加密货币是绝对的刚需存在:慢雾余弦今日在微博上表示,未来虚拟世界是绝对的独立智慧体,加密世界是绝对的大势,加密货币是绝对的刚需存在,虽然这个未来还有不少距离。[2020/1/4]
声音 | 慢雾预警:DNS劫持静默攻击全球蔓延 一旦劫持 用户数字资产可被轻易窃取:慢雾安全团队注意到 FireEye 近日的情报披露《全球 DNS 劫持活动:大规模操纵 DNS 记录》。据悉,其中最关键的部分是明确指出有三种 DNS 劫持手法可以完成静默攻击(用户无法察觉访问的目标网站或 Web 服务是否已经被劫持)。如果数字货币交易所遭遇了DNS静默攻击,将导致交易所用户的数字资产可能被轻易盗取。慢雾安全团队进一步解释道,“这个攻击很高端,但也不难,迟早会有被这样手法攻击的数字货币相关平台。”不过,目前还未知是否已经有交易所遭遇类似攻击。[2019/1/11]
郑重声明: 慢雾余弦:Munchables某开发者系朝鲜黑客,其在获得团队信任后发起攻击版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。