据Blockworks报道,Aurox首席执行官GiorgiKhazarade发现一名黑客一直在从废弃的Meme代币池中抽取剩余的流动性,在这些攻击中几乎没有受害者。攻击者使用DeFi协议Balancer的闪电贷借入大量资金。然后,他们重新定向这些资金以增加所选代币池的数量。一旦资金池的容量增加,攻击者就会从资金池中抽干剩余的流动性,并归还从闪电贷中借来的代币。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
Khazarade指出,在CATOSHI漏洞利用中,黑客通过闪贷借了大约1.84亿美元的wETH,并使用这笔贷款中的大约100万美元购买了CATS。根据该代币经济学,每当有人交易CATOSHI代币时,代币持有者将获得3%的再分配奖励。在购买了超过16.6万枚CATS之后,攻击者将代币桥接到BNB链上,随后以大约10BNB的价格出售了代币,总利润为3000至4000美元,剩下的资金被用来偿还他们的闪贷。
安全团队:DEUS Finance攻击者已将5446枚ETH转移至Tornado Cash:金色财经消息,据CertiK安全团队监测,就在刚刚,DEUS Finance攻击者已将价值约1569万美元的5446枚ETH转移至Tornado Cash。攻击者钱包: eth:0x701428525cbac59dae7af833f19d9c3aaa2a37cb。[2022/4/28 2:36:47]
该黑客还针对IMMORTAN代币多次发起了类似攻击,以耗尽大约2000至3000美元的流动资金池。该黑客还从CATSV3中提取了4000美元的ETH。一个名为CRAB的项目也从其资金池中被清除了2000美元的ETH。就在昨天,黑客使用类似的方法从WEEB中提取了近3万美元的ETH流动性。Khazarade表示:“我不是百分之百确定,但似乎攻击者经常部署恶意智能合约,滥用各种代币并耗尽其流动性,有些似乎是专门只攻击一个单独的代币,而其他合约可以针对各种代币,可能是因为这些代币使用一些具有相同漏洞的模板代码。”
蔬果区块链项目Prodeum众筹后8天跑路:立陶宛的区块链项目Prodeum于1月20日发起众筹,仅仅8天后项目方无故下线网站,随后社交平台的官方信息也被删除干净,既没有发布任何关于系统被黑客攻击的声明,也没有关于系统临时维护的声明。Prodeum原来的愿景为利用以太坊区块链技术革新蔬果行业。网友猜测此为有预谋的项目,拿钱就跑。[2018/1/30]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。