逻辑漏洞连环击 攻击者盯上了 Eleven Finance 这块羊毛地

北京时间 6 月 23 日,PeckShield「派盾」预警显示,BSC 链上收益聚合器 Eleven Finance 中与 Nerve 相关的机池遭到闪电贷攻击。

PeckShield 「派盾」通过追踪和分析发现,此次攻击源于 Eleven Finance 的 Emergencyburn() 计算余额错误,且未执行销毁机制,攻击者获利近 460 万美元。 

有趣的是,几个小时后,昨天刚从 Impossible Finance 薅得近 50 万美元的攻击者,利用 Eleven Finance 的漏洞,通过闪电贷攻击获利近 52 万美元。

“1P5ZE”开头巨鲸地址再次转移25162.6枚BTC,近三日共转移超10万枚BTC:7月21日消息,据BitInfoCharts最新数据显示,巨鲸“1P5ZE”开头地址今日10:39再次转移25162.6枚BTC,近三日共减持了103646.6枚BTC,当前该地址余额为29235.29枚BTC。

此前消息,上述地址于今日9:11及9:31分两笔共转移16984枚BTC,并于7月19日和7月20日转移6.15万枚BTC。[2022/7/21 2:28:08]

第一个攻击者创建了 4 个合约,进行了 5 次攻击。

Anchor Protocol的UST存款从140亿美元暴跌至79.28亿美元:5月10日消息,根据官网数据,Terra链上收益协议Anchor Protocol的储户存款从上周五的140亿美元暴跌至79.28亿美元,跌幅超过43%。该存款市场主要是Terra与美元挂钩的稳定币Terra USD(UST),由于UST在短短三天内两次与美元汇率脱钩,市场恐慌加剧,导致大量用户提款。

此外,Anchor协议的治理代币ANC在24小时内下跌43.77%,现报1.09 UST。[2022/5/10 3:02:37]

PeckShield 以合约 0x8b29 为例简述攻击过程:

Big Data Protocol宣布今日22:00进行Chainlink首次数据发行:官方消息,Big Data Protocol宣布,将于5月5日北京时间22:00对Chainlink进行首个IDO(Initial Data Offering,首次数据发行)。

据悉,Big Data Protocol通过现有的14141个专业数据供应商的网络将数据代币化,并使数据代币在Uniswap上具有流动性。[2021/5/5 21:25:26]

首先,攻击者从 PancakeSwap 中借出 953,869.6 BUSD,并将其中 340,631.2 BUSD 兑换 474,387.75 NRV;

随后,攻击者将 474,378.75 Nerve 和 366,962 BUSD 在 PancakeSwap 中添加流动性,获得 411,515.3 LP token;

攻击者将 411,515.3 LP token 放入 Eleven Finance 中与Nerve 相关的机池获得 411,515.3 11 nrvbusd LP token;

当攻击者提取 Pancake LP token 时,ElevenNeverSellVault 中的 Emergencyburn() 函数本应销毁 11 nrvbusd LP token 换回 Pancake LP token,但 Emergencyburn() 并未执行 burn (销毁)这个动作,使得攻击者利用此逻辑错误获利。

该攻击者又创建了 0x01ea 合约,借出 30.9 BTCB;0xc0ef 合约借出 285.66 ETH 以及 0x87E9 借出两笔闪电贷 2,411,889.87 BUSD 和 7,693 BUSD 进行攻击。

攻击者通过利用集成的第三方合约功能进行攻击,这类问题较难检测到,例如,此前PeckShield「派盾」帮助 Rari Capital 避免更大损失案例一样,在定位漏洞根源时,由于合约交互容易干扰安全人员的判断,PeckShield「派盾」建议,开发人员应谨慎与任意第三方协议进行交互。

DeFi 协议开发人员在集成第三方协议并将其部署到生产运行之前,应充分了解合约及其分支项目的运行情况。DeFi 协议开发人员应在项目上线前,先将其部署在测试网上进行测试并及时检查交易记录中的异常情况。

“太快了,攻击者从合约部署,到完成攻击,甚至到再次发起攻击,这一系列操作有时候快得让人有些反应不过来。”PeckShield「派盾」安全人员表示,“因此,事前审计,事中响应,事后提出及时有效的安全方案都是缺一不可的,谁都不知道攻击者会不会在下一秒发起攻击。”

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

DAI了解Solana:涡轮机、海湾流和海平面

历经两轮牛市,Solana终于在2021年大放异彩。 Solana是一个高性能、高质量的公链,旨在不牺牲去中心化或安全性的情况下,提供快速、便宜、抗审查的区块链网络,以满足快速增长的应用落地需求。 目前,分片、侧链等仍是各大公链试图提高自身性能的主流方案。 然而,Solana另辟蹊径,利用自己独创的新技术,带来了更有效的可扩展性解决方案。

欧易okex官网关于Rollup 你应该知道的基础知识

Layer 2 是解决⽅案的统称, 旨在通过在以太坊主⽹(第 1 层) 上处理交易来帮助扩展应⽤程序, 同时利⽤强⼤的主⽹分散式安全模型。当前以太坊交易速度慢,电费上涨使⽤⼾量增⼤时出现⽤⼾体验差的问题。第 2 层协议就是为了解决这个问题诞⽣。

火币交易所Swarm正式上线 官方展示大量相关应用

Swarm主网客户端Bee v1.0已经正式上线,伴随着主网的上线,Swarm官方举办了一场线上发布会Swarm One Event以庆祝这一里程碑,在该发布会中,团队从Bee客户端、新的Swarm网关、开发团队进程以及Swarm的生态发展等方面对Swarm项目进行了介绍。

[0:0ms0-0:734ms