慢雾安全团队对今日DEUSFinanceDAO遭受的闪电贷攻击原理进行了分析:1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
安全公司:SushiSwap仿盘YUNO与KIMCHI智能合约漏洞或存安全隐患:CertiK安全研究团队发现Sushiswap仿盘的两个项目YUNo Finance(YUNO)与KIMCHI.finance(KIMCHI),其智能合约均存在漏洞。如果利用该漏洞,智能合约拥有者可以无限制地增发项目对应的代币数目,导致项目金融进度通胀并最终崩溃。为了确保无限增发漏洞不会被触发,对于Yuno和Kimichi两个项目的智能合约拥有者必须由外部进行限制。当前已经实施的限制条件与Sushiswap项目一致,即对任何由智能合约拥有者进行的智能合约操作,均有48小时的延迟。任何来自智能合约拥有者的操作都会被所有投资者观察到,并有48小时进行应对操作。[2020/9/2]
本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考AlphaFinance关于获取公平LP价格的方法。
动态 | 预测机器人投顾市场与区块链网络安全公司达成合作:多中心化预测机器人投顾市场Alphacat宣布已与以色列区块链网络安全公司SecureForest达成深入的战略协议和合作伙伴关系。Alphacat和SecureForest之间的这种战略合作将为每个公司的产品和愿景带来双赢:“两家公司都将享受丰富的数据”,从而为Alphacat社区提供更好的预测和风险管理产品。SecureForest将通过ACAT引擎获得更强大的数据分析功能,Alphacat将获得数字资产安全领域最先进的技术支持。[2018/7/17]
此前消息,DEUSFinance遭到闪电贷攻击,损失约1700万美元,攻击者钱包已将5446枚ETH分批转入TornadoCash。
德国安全公司推出“防黑客”智能手机 用于存储数字货币:德国安全公司Sikur在巴塞罗那举行的2018年世界移动通信大会上推出了一款内置数字货币钱包的智能手机,该公司称,这款手机有完全加密和防黑客的强大安全机制,可以保证数字货币的安全存储。[2018/3/1]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。