BTC/HKD+0.05%
ETH/HKD+0.09%
LTC/HKD+0.11%
DOT/HKD+0.49%
ADA/HKD+0.63%
SOL/HKD-0.52%
XRP/HKD+0.02%
DOGE/US-0.15%前言
北京時間2022年6月16日,知道創宇區塊鏈安全實驗室?監測到以太坊鏈上借貸項目InverseFinance因預言機設計問題被攻擊,損失約77BTC。
知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
基礎信息
被攻擊預言機合約:0xe8b3bc58774857732c6c1147bfc9b9e5fb6f427c
攻擊者地址:0x7b792e49f640676b3706d666075e903b3a4deec6
Bittrex Global現已支持BTT:據官方消息,Bittrex Global現已支持BTT。目前,Bittrex Global已開放BTT充值,并將很快支持BTT交易。[2023/7/11 10:47:48]
攻擊合約:0xf508c58ce37ce40a40997c715075172691f92e2d
tx:0x958236266991bc3fe3b77feaacea120f172c0708ad01c7a715b255f218f9313c
漏洞分析
與大部分預言機事件一樣,項目方由于在預言機實現過程中過度依賴某一池子內的價格進行定價。導致攻擊者可操控該分布式池子的代幣比例導致價格控制進而攻擊協議。
Matrixport旗下加密交易所BIT在立陶宛完成虛擬資產服務提供商注冊:7月5日消息,據官方博客,新加坡加密金融服務公司Matrixport旗下加密貨幣交易所BIT宣布已在立陶宛完成虛擬資產服務提供商 (VASP) 的注冊。此次注冊使BIT能夠向歐盟/歐洲經濟區內的客戶提供一系列加密相關服務。通過此次注冊,BIT現已獲得授權提供加密貨幣兌換和加密貨幣存托錢包服務。BIT被允許提供其平臺作為交易所,用戶可以在其中購買、出售和交易各種加密貨幣,并促進數字資產與法定貨幣或其他加密貨幣之間的交易。[2023/7/5 22:19:29]
本次事件中,攻擊者利用了項目方如下的價格預言機代碼:
A股開盤:深證區塊鏈50指數上漲0.73%:金色財經消息,A股開盤,上證指數報3085.8點,開盤上漲0.57%,深證成指報10976.57點,開盤上漲0.59%,深證區塊鏈50指數報2732.57點,開盤上漲0.73%。區塊鏈板塊開盤上漲0.38%,數字貨幣板塊開盤上漲0.29%。[2022/12/22 22:00:04]
該喂價函數將Crv3池內BTC/ETH/USDT池內代幣余額作為價格源的一部分,導致在攻擊者在CRV3CRYPTO池子中利用大量BTC換取了USDT后產生了巨大的價格拉升。
BCapitalGroup已關閉其2.5億美元早期基金,將關注Web3等新興主題:金色財經報道,根據該公司的一份聲明,總部位于新加坡和美國的風險投資公司B Capital Group已關閉其25億美元的早期Ascent Fund II。Ascent Fund II是B Capital的第一只專注于早期階段的基金,投資于全球A輪融資的前種子,重點關注美國和亞洲的初創企業。
根據向美國證券交易委員會(SEC)提交的文件,今年3月,據報道,B Capital從101名投資者那里為其第三只全球增長基金籌集了至少11億美元。該基金的目標是20億美元,B Capital管理著65億美元的資產。近幾個月來,該公司還任命了大量高層人員,以幫助管理其擴大的投資組合。僅在2月份,它就任命了三名合伙人,Matt Levinson負責金融科技、區塊鏈和房地產投資、Karan Mohla在印度和東南亞的早期投注、Adam Seabrook對數字健康和相關領域的后期投資。[2022/7/20 2:24:28]
攻擊流程
1.攻擊者首先利用閃電貸從AAVE中借來了27000個WBTC,隨后將225個存入了Curve,協議為其鑄造相應的質押憑據;
2.利用crv3crypto存入yvCurve-3Crypto,協議為其鑄造相應憑據anYvCrv3Crypto;
3.利用余下的WBTC來進行兌換,進而控制latestAnswer中獲取的Curve池子中的余額比例。(使用26,775WBTC交換獲得了75403376USDT);
在第三步兌換前預言機latestAnswer返回為979*1e18;
在價格操控后latestAnswer返回為2831*1e18;
4.于是攻擊者得以使用抵押物借出10,133,949個DOLA,而原本225個BTC價值466W美元;
5.然后則是利用USDT換回WBTC、交換DOLA為3Crv;
6.移除3Crv流動性換取穩定幣USDT;
7.交換為BTC并歸還閃電貸。
總結
預言機合約中錯誤的使用了balanceOf導致攻擊者可操控數據源導致被攻擊,這樣的攻擊方式在之前已出現過多次如Definer預言機攻擊事件,項目方在開發過程中不應忽視安全性考量,在上線前建議做好審計工作。
來源:金色財經
大航海時代,歐洲的冒險家們劈波斬浪航海探索新大陸,滿載東方的香料而歸,贏得財富與榮耀,公司制和資本主義由此而生。冒險家們的個人情懷與對夢想的追求加速了世界的進程.
1900/1/1 0:00:00在一周前的報道中,MOVEPROTOCOL推出了Beta測試版活動,測試網在BSC鏈上進行,目的是讓用戶獲得超前運動、Web3體驗.
1900/1/1 0:00:00幣安終止對匿名萊特幣交易的支持以太坊難度炸彈延遲但網絡采用仍在增長加密貨幣總市值跌破一萬億美元大關三箭資本面臨超過4億美元的清算Celsius平臺向FTX交易所發送了3.2億美元的加密資產.
1900/1/1 0:00:00使用過MetaMask版本低于10.11.3的用戶,如在導入助記詞時點擊了ShowSecretRecoveryPhrase,那么助記詞可能泄露了.
1900/1/1 0:00:00比特幣合約分析:今日周一,周K線收盤,先從周線級別來做解讀,價格依托5日均線壓制探底回升大陰收盤,而周線的分水嶺就是大陰線高點,也是開跌口位置,差不多在27000區域附近;而形態方面.
1900/1/1 0:00:002022年6月,發生在區塊鏈行業融資中金額最大的是印尼的加密交易所Pintu的1.13億美元的融資。其次的則是主打沉浸式電商解決方案Nfinite的1億美元的融資.
1900/1/1 0:00:00
以太坊交易所
