今天早些时候,即10月10日,去中心化金融(DeFi)借贷平台TrueFi向BlockwaterTechnologies发出了违约通知,原因是其340万美元的BUSD贷款未能按期付款。上周,TrueFi信用小组试图达成庭外和解。这包括提高借贷利率和延长期限。
公众号:币圈一级市场阿生
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
所有平台均为,由于平台限制,图片未能展现出来,大家可以到公众平台阅读此文
波卡生态跨链DEX协议Zenlink公布早期社区支持者空投计划:11月5日消息,波卡生态跨链DEX协议Zenlink公布了一项早期参与者空投计划,将空投50万枚 ZLK 至符合条件的19105个早期参与者地址,届时用户可前往 Zenlink DEX 中查询空投数量,团队表示目前正在持续空投中,预计将于11月6日发放完毕。
另外,Zenlink与波卡智能合约平行链 Moonbeam达成战略合作,双方将在建设Kusama和Polkadot网络的 DEX 聚合器方面进行合作。Zenlink于11月3日晚正式上线 Moonbeam 同行网络Moonriver和Bifrost网络并开启IYO(初始收益发行),截至目前,其 TVL已达1.1亿美元。[2021/11/5 6:33:56]
然而,他们发现监督的行政程序可能会为利益相关者带来更好的结果。这是TrueFi迄今为止第一次也是唯一一次宣布信用违约。该信贷集团表示,在当前的宏观形势下,它将继续保持警惕和积极主动。
ShapeShift创始人:ShapeShift正在开发跨链DEX:1月17日消息,ShapeShift创始人兼首席执行官Erik Voorhees在最近的播客中透露,该公司一直在致力于开发跨链DEX(去中心化交易所),并将很快发布。此外,他表示其将业务重点转移至DeFi的原因的是,DEX具有更好的模型,其提供了一种出色的交易模型。此前1月6日消息,Shapeshift宣布集成12个DEX以减轻KYC负担。(AMBcrypto)[2021/1/17 16:21:32]
今年,借贷平台一直面临着加密市场崩溃的热潮。第二季度的大规模撤资导致了摄氏网络和航海者数字等巨头的倒闭。
TrueFi表示,它将继续与BlockwaterTechnologies的合作伙伴保持积极的讨论。重点将放在最大化利益相关者和贷方的恢复上。
TrueFi提供的无贷款
TrueFi表示,它已经发放了17亿美元的无贷款。然而,他们已成功收回136笔未偿还贷款的15亿美元还款。它的贷款为贷方产生了3436万美元的贷款。
TrueFi集团表示,其贷款账簿稳健,他们一直在积极寻求贷款续签。此外,它们还以TrueFiSAFU的名义为贷方提供某些违约保护。TrueFiSAFU监督一个明确致力于帮助受违约影响的贷方的基金。
还提供质押TRU削减,“在DAO的指导下,这可能会占用高达10%的质押TRU,以造福受违约影响的贷方”。
?
公众号:币圈一级市场阿生
所有平台均为,由于平台限制,图片未能展现出来,大家可以到公众平台阅读此文
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。