4月25日消息,Cobo区块链安全团队就Flurry Finance攻击事件进行了分析,发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同,而是利用了Flurry Finance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据(Bank中的token数量)。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵,进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用Rabbit Finance的StrategyLiquidate合约来执行任意代码的技巧,但这个技巧涉及到的合约代码本身其实并不存在安全问题。Cobo区块链安全团队提醒,开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。
此前消息,2月22日,BSC链上的Flurry Finance遭到闪电贷攻击,导致协议中Vault合约中价值数十万美元的资产被盗。
其它快讯:
安全团队:NFT项目Maximalist Discord服务器遭攻击:7月19日消息,据CertiK监测,NFT项目Maximalist的Discord服务器遭到攻击,攻击者发布了钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。[2022/7/19 2:22:37]
安全团队:9天内已有11个BAYC系列NFT被盗,总价值约166万美元:4月6日消息,派盾(PeckShield)统计显示,9天内已有11个BAYC系列NFT被盗,总价值约166万美元,包括此前周杰伦遭受钓鱼攻击的BAYC # 3738 NFT。[2022/4/6 14:08:07]
Cobo安全团队详解Stargate漏洞:可能导致伪造的交易receipt通过MPT验证:3月29日消息,Cobo安全团队撰文对Stargate跨链桥底层协议LayerZero的安全漏洞进行分析,称原始漏洞代码在进行MPT 验证时,没有限制pointer 在proofBytes 长度内,这个漏洞有可能让攻击者伪造hashRoot,导致伪造的交易receipt 可以通过MPT 验证。最终可造成的后果是,在预言机完全可信的前提下,Relayer 仍可以单方面通过伪造receipt 数据的方式来实现对跨链协议的攻击。
值得注意的是,此次爆出漏洞的代码是LayerZero协议中最核心的MPT交易验证部分的代码,是整个LayerZero及上层协议(例如Stargate)正常运作的基石。Cobo安全团队还表示,LayerZero项目的关键合约目前大都还被EOA控制,没有采用多签机制或者时间锁机制。如果这些特权EOA的私钥一旦泄漏,也可能会导致所有上层协议的资产受到影响。[2022/3/29 14:24:49]
金色财经报道,瑞典邮政服务公司PostNord与总部位于斯德哥尔摩的元宇宙公司Warpin合作,对其员工进行元宇宙培训。PostNord和Warpin已经创建了一系列虚拟学习模块,可以通过虚拟现实(VR)耳机访问。员...
区块链:2022/4/28 2:37:12金色财经消息,NFT项目Akutars已经部分发放并开盒,据Opensea数据,当前地板价为3.2ETH,成交量达327ETH。据悉,该系列尚未全部空投发放完成,Pass持有者率先收到了NFT。 此前消息,...
区块链:2022/4/26 5:11:12金色财经消息,据NFTGo.io数据显示,Meebits系列NFT总市值达7.45亿美元,在所有NFT项目总市值排名中位列第4;其24小时交易额为931.5万美元,增幅达21.83%。截止发稿时,该系列NFT当前地板...
区块链:2022/4/25 14:47:184月25日消息,Uber收购的送餐服务公司Postmates的创始人Bastian Lehmann准备成立加密货币公司,并已于2月在美国特拉华州注册一家名为Tiptop Labs的公司。 据Tiptop L...
区块链:2022/4/25 14:47:56金色财经报道,周二,《华盛顿考官》?报道称,多个监管机构指控 共和党国会议员Madison Cawthorn串通一气,参与了涉及昙花一现的Let’s Go Brandon加密货币(LGB)的拉高出货计划。在LGB价值...
区块链:2022/4/27 5:13:564月28日消息,网络基础设施和网站安全公司Cloudflare报告称公司系统自动阻止了一起最大规模的HTTPS DDoS攻击之一,这次攻击持续了不到15秒,针对的是运行一家加密启动板(crypto launchpad...
区块链:2022/4/28 2:37:064月28日消息,Cosmos EVM兼容网络Evmos在社交媒体上发文宣布Evmos即将上线,Rektdrop将在48小时后恢复(即北京时间4月30日0点)。 此前报道,Evmos于11月26日宣布将上线计...
区块链:2022/4/28 2:35:06金色财经消息,据Aurigami官网数据,Aurora上去中心化借贷协议Aurigami总锁仓量已达到713,918,784美元。此前报道,基于Aurora的借贷项目Aurigami宣布完成融资,Dragonfly ...
区块链:2022/4/25 14:46:41金色财经消息,据Dune Analytics的数据显示,截至4月26日,Optimism的独立地址数量达到了151082个,Optimism总交易量1054.01万美元,过去30天交易量为157.22万美元。 ...
区块链:2022/4/26 5:12:464月27日消息,美国国家橄榄球联盟(NFL)表示,将为本周四的球员选秀发布一系列以卡片为主题的 NFT 收藏品,该系列将基于 Polygon 区块链发行。该 NFT 市场于 2021 年 11 月推出,此后已用于各种...
区块链:2022/4/27 5:14:42金色财经消息,The Sandbox将于北京时间4月28日21:00在OpenSea上启动Mega City2土地拍卖,本次土地销售授权的IP包括香港海洋公园、渣打银行、富豪酒店集团、Tatler Asia、EVI、...
区块链:2022/4/25 14:47:204月26日消息,据外媒报道,英超传奇足球俱乐部利物浦足球俱乐部(Liverpool FC)正在与一家加密货币公司洽谈,后者希望成为该俱乐部球衣的主要赞助商。如果与这家未具名的公司达成协议,他们可能从明年夏天开始成为赞...
区块链:2022/4/26 5:11:46
区块见闻