以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 聚幣 > Info

損失近2070萬美元 防不勝防?Popsicle Finance被攻擊事件全解析_OLA:DecentBet

Author:

Time:1900/1/1 0:00:00

8月4日,鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)輿情監測顯示,跨鏈收益率提升平臺Popsicle Finance下Sorbetto Fragola產品遭到攻擊,導致了約2070萬美元的損失,攻擊者共獲利2.6K WETH,5.4M USDC,5M USDT,160K DAI,10K UNI,和96 WBTC。

攻擊如何發生 Event overview

首先,跟我們了解一下Popsicle Finance是什么?

這是一個很有意思的項目,主要做跨鏈流動性挖礦。在DeFi 大熱的時候,大家都在找流動性挖礦的機會,希望讓自己的資產收益最大化。但因以太坊主網 gas 費用居高不下,給了二層、側鏈、其他區塊鏈迅速發展壯大的機會。在多鏈時代下,Popsicle Finance就在這樣的背景下誕生了。

安全團隊:MTDAO項目方的未開源合約遭受閃電貸攻擊,損失近50萬美元:金色財經報道,據Beosin EagleEye Web3安全預警與監控平臺檢測顯示,MTDAO項目方的未開源合約0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受閃電貸攻擊,受影響的代幣為MT和ULM。攻擊交易為0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共獲利487,042.615 BUSD。攻擊者通過未開源合約中的0xd672c6ce和0x70d68294函數,調用了MT與ULM代幣合約中的sendtransfer函數獲利(因為同為項目方部署,未開源合約0xFaC06484具有minter權限)。

Beosin安全團隊分析發現攻擊者共獲利1930BNB,其中1030BNB發送到0xb2e83f01D52612CF78e94F396623dFcc608B0f86地址后全部轉移到龍卷風地址,其余的swap為其他代幣轉移到其它地址。用戶和項目方請盡快移除流動性,防止攻擊合約有提幣和兌換接口。[2022/10/17 17:29:32]

在遭到黑客攻擊后,Popsicle Finance團隊成員立即發推表示,目前僅有 Sorbetto Fragola 一款產品受到影響。團隊將在幾周內修復漏洞并對用戶損失進行賠償。

MicroStrategy跌超5%,該公司比特幣投資損失近1.5億美元:行情顯示,MicroStrategy(MSTR.O)跌超5%,該公司比特幣投資損失近1.5億美元,昨日還新買入660枚比特幣。(金十)[2022/2/2 9:28:03]

攻擊者如何得手 Event overview

攻擊者地址:

0xf9E3D08196F76f5078882d98941b71C0884BEa52

攻擊合約:

A:

0xdfb6fab7f4bc9512d5620e679e90d1c91c4eade6

B:

0x576Cf5f8BA98E1643A2c93103881D8356C3550cF

比利時經濟大臣:比利時2019年因加密貨幣欺詐損失近300萬歐元:根據比利時經濟大臣Nathalie Muylle周五公布的數據,比利時經濟監察局去年報告稱,由于加密貨幣欺詐,比利時損失294萬歐元。Muylle表示,真正的損失可能超過294萬歐元,因為這只是向監察局報告的情況。Muylle補充說,那些舉報欺詐的人并不總是透露涉及的金額。(The Brussels Times)[2020/5/8]

C:

0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8

攻擊交易:

0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc

攻擊者使用相同的攻擊方式獲利了多種代幣,以下以USDT為例分析:

Round 1

動態 | skreosladder游戲再遭黑客攻擊 損失近千EOS:Beosin(成都鏈安)態勢感知系統報警:從晚間22:10開始截止目前,skreosladder游戲再次遭受黑客攻擊,黑客目前已經獲利近千EOS。該黑客曾多次攻擊該游戲,已被項目方加入黑名單,但黑客仍使用小號繞過了限制。成都鏈安在此提醒項目方提高警惕并重視安全防范。[2019/9/3]

攻擊者使用合約A通過閃電貸獲取USDT和ETH。

Round 2

通過合約A調用SorbettoFragola的deposit函數獲取憑證代幣PLP。

分析 | 報告:自2011年至2018年7月全球因區塊鏈安全事件造成損失近30億美元:據BCSEC統計數據顯示,自2011年至2018年7月,全球因區塊鏈安全事件造成損失近30億美元。[2018/9/17]

Round 3

將PLP發送給合約B并執行SorbettoFragola的collectFee函數,這時輸入的amount均為0,更新合約B的獎勵參數。之后將PLP發送到合約C,進行同樣的操作。合約C完成操作后將PLP發送回合約A。

因為合約B、C持幣,所以會計算更新其獎勵(不隨代幣轉移清空),更新后的數值如下圖所示:

Round 4

合約A執行SorbettoFragola的withdraw函數,銷毀PLP代幣。取出本金后更新相關參數為最新。

Round 5

接著合約B與合約C再度執行collectfee函數。

輸入的amount為上面更新后的數值tokenReward。

這時因為滿足此處條件,所以會到pool地址(UNIV3的對應交易對地址)去移除流動性,并將代幣發送給合約B、C。

Round 6

合約C再次調用collectfee函數獲利。

此時amount如下圖所示:

最后,滿足調用pay函數的條件,通過pay函數向合約C發送代幣。

事件復盤

我們需要注意什么 Case Review

Popsicle Finance最初管理的是跨鏈流動性,于6月26日推出Sorbetto Fragola 以管理Uniswap v3流動性。

項目方應該也沒有預料到,黑客會在今日進行攻擊,導致了約2070萬美元的損失。可見,安全預判是多么重要。

注意

成都鏈安在此建議,對于項目方而言,在PLP轉移時,應該重新計算并更新PLP發送方與接收方的獎勵值,避免獎勵重復發放。此外,項目的邏輯缺陷一定要得到重視。

Tags:EOSOLABETSORNEOS幣solana幣什么意思DecentBetTresor Finance

聚幣
三分鐘了解 Calamari:Kusama 上基于 zkSNARK 的隱私保護平行鏈_AMA:REDMARS

撰文:Groot 雖然鏈上的高度透明奠定了區塊鏈世界的信任基礎,但是隨著行業的快速發展,完全公開的數據難免引發了一些別有用心的「作惡者」的關注.

1900/1/1 0:00:00
Arbitrum給DeFi帶來了什么?_RBI:TRUST

以太坊已成為加密生態系統中最受歡迎的區塊鏈之一,根據數據,目前有超過2800個應用程序在區塊鏈上運行.

1900/1/1 0:00:00
NewB.farm收益農場與CoinHub空投活動_COI:bitcoin-cash

有免費又優質的空投領取嗎?答案是有的!NewB.farm收益農場與區塊鏈數字資產管理服務平臺Coinhub聯辦全民空投活動.

1900/1/1 0:00:00
Aysnc Art:可編程性是 NFT 數字藝術的未來_LAYER:AYS

隨著加密藝術及 NFT 技術的發展,越來越多的藝術家、藏家對藝術作品的創作、收藏不再僅僅局限于將實體藝術作品上鏈或傳統形態的數字藝術作品,人們都在朝著更新、更尖端的技術探索.

1900/1/1 0:00:00
金色前哨丨比特幣礦企Genesis Digital Assets完成4.31億美元融資_ITA:Titan Hunters

作為世界上最大的比特幣采礦公司之一Genesis Digital Assets,9月22日宣布4.31億美元的戰略融資,這是截至目前比特幣挖礦行業最大的融資.

1900/1/1 0:00:00
三分鐘帶你在Polygon上使用Curve.fi獲取收益_KEN:DSF Token

Curve.fi是一款專注于低滑點兌換的DEX,它通過使用與UniSwap V2不同的做市商曲線,在token匯率波動幅度較小的范圍內,大大降低了交易時產生的滑點.

1900/1/1 0:00:00
ads