OUSD遭“经典重入攻击”,损失770万美元,DeFi安全亟待解决

近日,PeckShield监控到DeFi协议OriginProtocol稳定币OUSD遭到攻击,攻击者利用在衍生品平台dYdX的闪电贷进行了重入攻击存入Origin智能合约来铸造OUSD稳定币,之后该协议会将基础稳定币投资于多个DeFi协议并进行收益耕作,为OUSD持有者赚取回报。重入攻击重现凭空创造2050万枚OUSD

PeckShield通过追踪和分析发现,首先,攻击者从dYdX闪电贷贷出70,000枚ETH;随后,在UniswapV2中先将17,500枚ETH转换为785万枚USDT,再将所贷剩余的52,500枚ETH转换为2099万枚DAI;接下来,攻击者分四次铸造OUSD稳定币:第一次通过mint()函数铸造OUSD时,攻击者确实在Origin智能合约中存放了750万枚USDT,并获得750万枚OUSD;第二次通过mintMultiple()多种稳定币函数铸造OUSD时,攻击者在Origin智能合约中存放了2050万枚DAI和0枚假“稳定币”,并在此步骤中通过重入攻击来攻击合约。攻击者将2050万枚DAI和0枚假“稳定币”存入VaultCore中,此时智能合约收到2050万枚DAI,在尝试接收0枚假“稳定币”时,攻击者利用恶意合约进行劫持,在智能合约正常启动铸造2050万枚OUSD之前,调用mint()函数,先恶意增发了2050万枚OUSD,此次恶意增发由VaultCore合约调用rebase()函数实施。

YouSwap7月第4周销毁81148个YOU:据官方数据,YouSwap上周销毁81148个YOU,YOU总销毁数量达到1108513,平台挖矿产出13350717个YOU,当前YOU总流通量为14389889。截至7月27日11:00,YouSwap累计交易总额达110501978USDT,累计挖矿总产值1728091USDT。[2021/7/27 1:17:48]

动态 | Lighthouse已成功测试10万个验证器运行网络:据Trustnodes消息,以太坊2.0开发团队此前发布的Eth2公共测试网Lighthouse已成功测试了100,000个验证器运行网络。以太坊基金会核心研究员Danny Ryan表示,这意味着“ 10倍优化和100倍优化”已进入最后阶段,这可能不会引起公众注意,但“这一发展阶段与其他任何阶段一样,对我们达到终点至关重要”。[2020/2/5]

值得注意的是,为顺利实施劫持,攻击者在上述mint()函数调用时,真金白银地存入了2,000枚USDT,同时获得第三次铸币2,000枚OUSD。随后,调用oUSD.mint()函数第四次铸造2050万枚OUSD。

声音 | Blockstream CEO:Brad Garlinghouse可能是通过倾销XRP来买入BTC:Ripple首席执行官Brad Garlinghouse近期在接受CNN采访时坚称,Ripple并不想“倾销”XRP,也不能控制XRP的价格。The Block分析师Larry Cermak对此评论称,Brad Garlinghouse在这段采访视频中所说的几乎都是谎言。引用CoinMarketCap上的每日交易量对我来说几乎难以置信,因为他知道至少90%是假的。但XRP的投资者还是要为此买单。此外,Blockstream首席执行官Adam Back表示,Brad Garlinghouse很可能支持BTC,因为他很可能是先通过零售倾销预开采的XRP来积累BTC。[2020/1/9]

声音 | Ripple首席执行官Brad Garlinghouse:我们不与SWIFT合作:Ripple的首席执行官Brad Garlinghouse在接受彭博电视(Bloomberg TV)采访时谈到了该公司技术的实用性,他告诉记者,“任何数字资产的长期价值都将取决于它所解决的问题。”并且Garlinghouse称,Ripple无意与SWIFT合作,事实上,我们每天都在做的就是想办法替代SWIFT。[2018/11/14]

rebase指代币供应量弹性调整过程,即对代币供应量进行“重新设定”。在DeFi领域有一类代币拥有弹性供应量机制,即每个代币持有用户的钱包余额和代币总量会根据此代币价格的变化而等比例变动。此时,攻击者共获得2800.2万枚OUSD,包括抵押的750万枚USDT、2050万枚DAI和2000枚USDT。由于调用rebase()函数,攻击者所获得的OUSD总计上涨至33,269,000枚。最后,攻击者先用所获得的33,269,000枚OUSD赎回1950万枚DAI、940万枚USDT、390万枚USDC;再在Uniswap中将1045万枚USDT兑换为22,898枚ETH,将390万枚USDC兑换为8,305枚ETH,将190万枚DAI兑换为47,976枚ETH,共计79,179枚ETH,并将其中70,000枚ETH归还到dYdX闪电贷中。据PeckShield统计,攻击者在此次攻击中共计获利11,809枚ETH和2,249,821枚DAI,合计770万美元。对于次攻击事件,OriginProtocol官方回应称,正在积极采取措施,以期收回资金。随着DeFi生态的蓬勃发展,其中隐藏的安全问题也逐渐凸显,由于DeFi相关项目与用户资产紧密相连,其安全问题亟待解决。对此,PeckShield相关负责人表示:“此类重入攻击的发生主要是由于合约没有对用户存储的Token进行白名单校验。DeFi是由多个智能合约和应用所组成的’积木组合’,其整体安全性环环相扣,平台方不仅要确保在产品上线前有过硬的代码审计和漏洞排查,还要在不同产品做业务组合时考虑因各自不同业务逻辑而潜在的系统性风控问题。”

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

PEPE比特币的通缩将如何拯救世界?

编者按:本文来自币乎,作者:洁sir。关于当今世界经济中通货膨胀的必要性,已经进行了很多讨论。但是,问题的真相是,通货膨胀有助于在拥有金融资产的人与没有金融资产的人之间造成失衡.

SAND算力:幻想几何学(一)

数学家们在对自然本质的揭示中找到了定理。优秀的那些进一步从定理之间找到相似处。再后来,有天赋的那些从证明和证明的发现相似处,从分支和分支间发现相似处.

[0:0ms0-1:371ms