12月22日,UniswapV3流动性管理协议VisorFinance再次遭受黑客攻击,黑客借助漏洞提取了超过880万个VISR并在Uniswap上卖出,导致VISR代币暴跌近95%,通过TornadoCash进行洗币后黑客获利超过120枚ETH。
目前Visor官方表示将对攻击前地址数据进行快照,进行VISR迁移和退还。新Token将会采用新的名称替换旧的VISR名称,Token经济学保持不变,并且将使用新代币以1:1的比例赎回,包括质押在vVISR合约中的代币和质押在Tokemak中的Token。
QuickSwap已上线去中心化永续合约交易所QuickPerps:5月26日消息,Polygon 生态去中心化交易协议 QuickSwap 发推称,已上线新的去中心化永续合约交易所 QuickPerps,为早期用户提供高额奖励、NFT、交易费等。QuickPerps 支持最高 50 倍杠杆。[2023/5/26 9:44:39]
据慢雾安全团队分析,VisorFinance项目遭受攻击是由于RewardsHypervisor合约在对用户充值进行权限检查时存在缺陷,导致攻击者可以构造恶意合约以进行任意铸造抵押凭证。
彭博社:大型机构客户是去年加密借贷平台遭遇挤兑的主要因素:5月16日消息,芝加哥联邦储备银行的一项研究发现,大型投资者是借贷平台遭遇挤兑的主要因素。去年,诸如Celsius、BlockFi和Genesis Global Capital LLC 等加密借贷平台,均遭遇了大型投资者及机构客户的大额资金撤回,导致几个平台最终破产。
这项研究提出了当前许多加密贷款平台在应对潜在大规模提款风险所存在的规划不足问题,并强调了各平台完善其相关提款政策的紧迫性。(彭博社)[2023/5/16 15:05:57]
具体分析内容如下:
Glassnode:Uniswap团队可能在团队代币分配方面误导了社区:金色财经报道,Glassnode最近发布的文章对Uniswap的去中心化提出了质疑,同时暗示该平台的开发人员可能在团队如何分配UNI代币方面误导了社区。Glassnode称,Uniswap的团队、投资者和顾问已经分配了所有UNI代币中的40%,其中21.51%分配给了投资者和顾问。然而,这些代币的分发本应持续4年,目前缺乏一个公开的时间表。团队和投资者的代币似乎也没有被锁定。Glassnode还批评了该项目的治理,其指出,如果要提交提案,一个人必须拥有UNI全部供应量的至少1%。但是,由于尚未释放全部供应,此阈值实际上是当前循环供应的8%。[2020/9/25]
1.用户可以通过VisorFinance的RewardsHypervisor合约中的deposit函数进行VISR代币抵押,其会先将用户的VISR代币转进合约中,并铸造对应的抵押凭证给用户。若用户在进行deposit操作时传入的from地址是合约地址,那么其会先进行owner检查再调用from合约的delegatedTransferERC20函数将VISR代币转入抵押合约中,但owner检查却检查的是from合约的owner是否是调用者。因此攻击者可以部署恶意合约使得恶意合约owner满足此检查,随后就可以为任意地址铸造抵押凭证。?
2.攻击者利用凭空铸造的抵押凭证即可直接通过RewardsHypervisor合约的withdraw函数将合约中抵押的VISR取出。
因此,此次攻击是由于RewardsHypervisor合约在对用户充值进行权限检查时存在缺陷,导致攻击者可以构造恶意合约以进行任意铸造抵押凭证。
参考交易:
https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f
https://etherscan.io/tx/0x6eabef1bf310a1361041d97897c192581cd9870f6a39040cd24d7
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。