BTC/HKD-0.3%
ETH/HKD-0.01%
LTC/HKD+0.37%
DOT/HKD+0.13%
ADA/HKD+0.5%
SOL/HKD-0.09%
XRP/HKD+0.48%
DOGE/US+0.37%北京時間2022年9月5日,CertiK審計團隊監測到Daoswap由于挖礦獎勵大于交換過程中收取的費用以及缺乏驗證,允許用戶將邀請者地址設置為自己,在一次攻擊中損失了58萬USDT。
攻擊步驟
① 攻擊者合約從12個地址中共閃電貸到了218萬美元。
② 攻擊者合約使用DAORouter將所有閃電貸到的USDT交換為DAO代幣。在交換過程中,攻擊者合約以兩種方式從SwapToEarn獲得DAO代幣作為獎勵:
a. 代幣獎勵:這是為換取代幣的用戶準備的。
b. 邀請者獎勵:攻擊者在調用函數時可以任意設置一個“邀請者”地址,相當于推薦人也可以獲取獎勵。在這種情況下,攻擊者合約將邀請者地址設置為自己。
③ 攻擊者合約用同樣的方法將所有DAO代幣換回USDT,再次獲得這兩種獎勵。
④ 攻擊者合約多次重復步驟②和③。因為攻擊者收到了DAO代幣作為獎勵,所以他每次都能獲得更多的USDT。
⑤ 攻擊者合約償還了所有借貸資金,并將剩余的USDT金額轉移給攻擊者。
Matrix Partners披露已于六月完成8億美元募資,將謹慎投資Web3等領域:10月11日消息,風投公司Matrix Partners已于六月完成了8億美元募資。該風投合伙人Antonio Rodriguez透露,他們將謹慎投資Web3和去中心化互聯網領域。
Antonio Rodriguez表示,Matrix Partners雖然不會將一般資金投入Web3市場,但其投資組合已經涵蓋相關領域。其個人看法為,雖然可信分布式數據庫對于B2B和消費者領域的許多應用來說都非常有趣,然而過去兩年的投機熱潮大概率已經結束,我們也希望看到更多實用性,所以Matrix Partners不會成倍地在這一領域加大投資。(Tech Crunch)[2022/10/11 10:30:34]
合約漏洞
DAOSwap包含一個“swap-mining”的獎勵,其實現方式如下。
在函數_swap中調換之后,可調用SwapToEarn.sol中的函數swapCall。
企業級商用公鏈CSPR今日19:00上線MXC抹茶創新區:據官方公告,5月11日19:00,企業級商用公鏈CSPR(Casper)上線MXC抹茶創新區,開放USDT交易。18:00開放充值,充值可瓜分10萬枚CSPR;19:00開放提現。
資料顯示,Casper是首個建立在Casper CBC技術規格上的實時權益證明商用區塊鏈。采用 PoS 機制,在開發者快速入門、智能合約性能和企業集成方面進行了優化。[2021/5/11 21:48:27]
在函數swapCall中,DAO代幣被轉移給用戶和邀請者,二者的地址都是通過參數傳遞的。
當函數在_swap中被調用時,我們可以看到用戶被設置為信息發送者msg.sender,而邀請者則來自于輸入參數。
邀請者地址可以是任何地址,因為這個地址沒有設置檢查。攻擊者能夠將邀請者設為自己,并得到了額外的獎勵。
值得注意的是,攻擊者作為邀請者得到的獎勵約占總獎勵的20%。即使不允許攻擊者將邀請人地址設置為自己,攻擊者仍然可以從交易中獲利。
6次交易的總利潤約為581,254 USDT。
交易①:
https://bscscan.com/tx/0x414462f2aa63f371fbcf3c8df46b9a64ab64085ac0ab48900f675acd63931f23
交易②: https://bscscan.com/tx/0x6c859ae624002e07dac39cbc5efef76133f8af5d5a4e0c42ef85e47d51f82ae0
交易③:
https://bscscan.com/tx/0x3b1d631542eb91b5734e3305be54f305f26ab291b33c8017a73dcca5b0c32a1b
交易④: https://bscscan.com/tx/0xa7fdefcd80ba54d2e8dd1ab260495dca547993019d90f7885819bb4670b65bad
交易⑤:
https://bscscan.com/tx/0xf1368418344e21a1a09a2c1770ea301bf109ca3b387a59a79242a27d709195a7
交易⑥:
https://bscscan.com/tx/0x8eb87423f2d021e3acbe35c07875d1d1b30ab6dff14574a3f71f138c432a40ef
寫在最后
攻擊發生后,CertiK的推特預警賬號以及官方預警系統已于第一時間發布了消息。同時,CertiK也會持續于官方公眾號發布與項目預警(攻擊、欺詐、跑路等)相關的信息。
CertiK的端到端安全解決方案,從智能合約審計和KYC項目背景調查服務,到Skynet天網動態掃描系統和SkyTrace等區塊鏈分析工具,以及漏洞賞金計劃,助力每一個項目充分發揮潛力的同時為Web3.0打造用戶和投資者高參與的生態系統。
CertiK中文社區
企業專欄
閱讀更多
金色早8點
財經法學
成都鏈安
PANews
Bress
鏈捕手
Odaily星球日報
Tags:
如何快速判斷 NFT 的價值? 不同的 NFT 投資者擁有不同的方法論,大多數人會從對應 NFT 集合的交易數據層面來做出判斷,也有部分人會觀察社交媒體/社區中對應 NFT 話題的熱度。 但兩者的區別在于,交易數據在區塊鏈上,公開透明,因此也催生了一系列 NFT 數據網站。
僅靠一個項目上演逆襲好戲?熊市里,奇跡依然在不斷發生… 加密錢包被盜事件越發頻繁,方式層出不窮,防不勝防。5 月底,一個叫 Hanwe 的 NFT 玩家由于電腦中了木馬,被盜走了 85 ETH。 所幸,這 85 ETH 不是他的全部資產。慌亂與沮喪過后,他決定振作起來,挑戰在 3 個月內賺回 85 ETH。
1.DeFi代幣總市值:470.35億美元DeFi總市值 數據來源:coingecko 2.過去24小時去中心化交易所的交易量53.09億美元過去24小時去中心化交易所的交易量 數據來源:coingecko 3.DeFi中鎖定資產:562億美元DeFi項目鎖定資產前十排名及鎖倉量 數據來源:defillama NFT數據 1.NFT總市值:186。
北京時間2022年9月5日,CertiK審計團隊監測到Daoswap由于挖礦獎勵大于交換過程中收取的費用以及缺乏驗證,允許用戶將邀請者地址設置為自己,在一次攻擊中損失了58萬USDT。 攻擊步驟 ① 攻擊者合約從12個地址中共閃電貸到了218萬美元。 ② 攻擊者合約使用DAORouter將所有閃電貸到的USDT交換為DAO代幣。
北京時間 9 月 1 日凌晨,華盛頓特區首席檢察官 Karl Racine 正在起訴 MicroStrategy 公司及其聯合創始人 、前 CEO Michael Saylor 涉嫌逃稅。受此消息影響,MicroStrategy 股價今日持續受挫。 對于加密世界來說,MicroStrategy 是一個獨特的存在——永遠的多頭。
靈活的價格+限制條件。 本文來自 a16z, 原文作者:Scott Duke Kominers&TimRoughgarden,由 Odaily 星球日報譯者 Katie 辜編譯。 許多 NFT 項目并沒有讓市場決定其主要銷售產品的價格,而是選擇以低于市場出清(market-clearing)水平的價格出售其 NFT 產品。
2021年以來,元宇宙、NFT、數字藏品等新概念、新技術的不斷破圈,讓 Web3 得到了前所未有的關注,即使是相對保守的國內市場,也有不少互聯網大廠和傳統品牌相繼入局。
以太坊交易所
