链闻消息,慢雾区针对币安智能链上DeFi项目AutoSharkFinance被黑分析称,由于AutoShark策略池的机制,攻击者需要事先存入一定数量的LP代币到策略池中,为后续攻击做准备。整个攻击其实分成了2步,第2笔攻击交易的具体攻击步骤如下:1.攻击者从Pancake的WBNB/BUSD交易对中借出大量WBNB;2.将第1步借出的全部WBNB中的一半通过Panther的SHARK/WBNB交易对兑换出大量的SHARK,同时池中WBNB的数量增多;3.将第1步和第2步的WBNB和SHARK打入到SharkMinter中,为后续攻击做准备;4.调用AutoShark项目中的WBNB/SHARK策略池中的getReward函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励SHARK代币,这部分操作在SharkMinter合约中进行操作;5.SharkMinter合约在收到用户收益的LP手续费之后,会将LP重新拆成对应的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;6.由于第3步攻击者已经事先将对应的代币打入到SharkMinter合约中,SharkMinter合约在移除流动性后再添加流动性的时候,使用的是SharkMinter合约本身的WBNB和SHARK余额进行添加,这部分余额包含攻击者在第3步打入SharkMinter的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说SharkMinter合约误以为攻击者打入了巨量的手续费到合约中;7.SharkMinter合约在获取到手续费的数量后,会通过tvlInWBNB函数计算这部分手续费的价值,然后根据手续费的价值铸币SHARK代币给用户。但是在计算LP价值的时候,使用的是PantherWBNB/SHARK池的WBNB实时数量除以LP总量来计算LP能兑换多少WBNB。但是由于在第2步中,Panther池中WBNB的数量已经非常多,导致计算出来的LP的价值非常高;8.在LP价值错误和手续费获取数量错误的情况下,SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致SharkMinter合约给攻击者铸出了大量的SHARK代币;9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。
慢雾创始人通过其推特向跨链DID .bit成功申领slowmist.bit:9月14日消息,慢雾创始人通过其推特向跨链 DID .bit 申领了保留账户 slowmist.bit。据悉,.bit 通过引用第三方数据源保留的账户,在规定时间内成功发起申领就可以按注册费获得该账户。
此前报道,8月15日,跨链DID .bit宣布完成1300万美元A轮融资,CMB International领投,HashKey Capita、QingSong Fund、GSR Ventures、GGV Capital、SNZ 与 SevenX 参投。[2022/9/14 13:29:33]
慢雾:警惕ETH新型假充值,已发现在野ETH假充值攻击:经慢雾安全团队监测,已发现存在ETH假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查ETH入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约ETH充值时,需要判断内联交易中是否有revert的交易,如果存在revert的交易,则拒绝入账。2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险。[2020/5/23]
慢雾 x IMEOS市场预警:警惕数字货币转账地址劫持攻击,这个攻击链从钱包地址的展示到复制到最终黏贴环节都可能存在。从我们历史审计经验及慢雾区情报反馈来看,这个攻击在交易所或钱包转账过程,暗网勒索过程等都有相关真实案例发生。这个攻击从地下黑客风向标来看,已经颇具产业链形态,特此预警:在转账确认之前一定要再三确认目标钱包地址是否正确(不要仅看首尾字符串,需要严格一一验证)。[2018/4/12]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。