据慢雾区情报,2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下:
1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币,即转入的 DOD 代币数量越多获得的 BUSD 也越多。
2. 但由于 DOD 代币价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。
3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。
4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD 代币转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD 代币。
5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。
本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。
a16z在6小时前转出7504枚MKR至0xd520开头地址:7月15日消息,据链上分析师余烬监测,a16z在7月11日将7505枚MKR(688万美元)通过0xd520地址转入Coinbase后,似乎MKR就没再上涨。
6小时前a16z地址又继续转出了7504枚MKR(650万美元),目前位于0xd520地址,可以关注这笔MKR后面是否会继续转入Coinbase。[2023/7/15 10:56:46]
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]
3月9日消息,2022年国际妇女节期间,第二届Women Who Crypto线上论坛中,Twitter Space技术负责人Mada Aflak表示,“我们应该更多地关注加密行业里的基础设施和法币渠道建设,让第三世...
区块链:2022/3/9 13:47:21据官方最新消息,孙宇晨在其社交媒体平台表示:“我作为格林纳达驻WTO大使,驻地在日内瓦,既不是美国人,也没有美国绿卡,不居住在美国,根本不涉及到任何美国税务事项,FBI只管美国境内,与我没有任何关系!” Tw...
区块链:2022/3/10 13:48:523月14日消息,据彭博社报道,稳定币发行商Tether(USDT)无视乌克兰政府呼吁停止与俄罗斯人进行所有交易的要求。Tether早些时候在一份官方声明中表示,“Tether正在持续监控市场,以防止可能违反国际制裁的...
区块链:2022/3/14 13:54:403月9日,根据美国证券交易委员会披露的IPO招股说明书,美国Bitstream Mining母公司Agora Digital Holdings计划在纳斯达克上市。据悉,Agora Digital Holdings 的...
区块链:2022/3/10 13:47:373月10日,据DappRader最新数据显示,“无聊猿”Bored Ape Yacht Club(BAYC)交易总额已突破14亿美元,创下历史新高,本文撰写时为1,401,975,300美元,交易总量为24,807笔...
区块链:2022/3/10 13:48:263月12日消息,英国金融科技公司Revolut高管Alan Chang离职,创立新的加密创业公司并寻求1亿美元融资。(彭博社) 英国金融行为监管局:英国当局希望加强对货币市场基金的韧性:5月23日消息,英国金...
区块链:2022/3/12 13:51:473月14日消息,定制女装品牌Katla开创了一种通过服装分发NFT的新方式,在接下来的几个月中,Katla将推出一系列NFT,消费者通过手机扫描Katla物品上的二维码即可访问这些NFT。此外,Katl宣布已与冰岛艺...
区块链:2022/3/14 13:54:57dForce发推称,治理提案DIP024提议推出一个支持USX配对LP代币的新Vault的投票已通过,获得了94.35%的支持。 据介绍,dForce Vault的推出是为了引入各种资产作为抵押品,允许US...
区块链:2022/3/13 13:53:523月14日消息,OKX最新报告显示,与1月相比,2月加密货币整体成交量略有下降,交易总额为7476亿美元。此外,永续合约虽然仍占据整体62%的交易量,但是期货的市场占比和成交量在持续下降。 OKX全球机构业务...
区块链:2022/3/14 13:55:173月12日,据官方消息, 预言机解决方案Pyth Network今日正式发布中文白皮书。这份白皮书介绍了一种全新的预言机设计模型,并且第一次正式描述了Pyth Network的愿景:建立一个自我可持续的、去中心化的预...
区块链:2022/3/12 13:52:563月11日消息,据Whale Alert数据显示,在过去24小时内,多个BTC鲸鱼完成了多笔交易,将价值超13.6亿美元的35237个比特币从Coinbase转移到身份不明的钱包。其中,最大单笔交易是9901个BTC...
区块链:2022/3/11 13:51:13金色财经报道,据最新数据显示,由知名投资人 GaryVaynerchuk 创建的 NFT 系列 VeeFriends 市值已突破 1 亿美元,本文撰写时为100,357,460.35美元,交易总额 1.3919 亿美...
区块链:2022/3/12 13:53:05