链闻消息,慢雾区针对币安智能链上DeFi项目AutoSharkFinance被黑分析称,由于AutoShark策略池的机制,攻击者需要事先存入一定数量的LP代币到策略池中,为后续攻击做准备。整个攻击其实分成了2步,第2笔攻击交易的具体攻击步骤如下:1.攻击者从Pancake的WBNB/BUSD交易对中借出大量WBNB;2.将第1步借出的全部WBNB中的一半通过Panther的SHARK/WBNB交易对兑换出大量的SHARK,同时池中WBNB的数量增多;3.将第1步和第2步的WBNB和SHARK打入到SharkMinter中,为后续攻击做准备;4.调用AutoShark项目中的WBNB/SHARK策略池中的getReward函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励SHARK代币,这部分操作在SharkMinter合约中进行操作;5.SharkMinter合约在收到用户收益的LP手续费之后,会将LP重新拆成对应的WBNB和SHARK,重新加入到Panther的WBNB/SHARK交易池中;6.由于第3步攻击者已经事先将对应的代币打入到SharkMinter合约中,SharkMinter合约在移除流动性后再添加流动性的时候,使用的是SharkMinter合约本身的WBNB和SHARK余额进行添加,这部分余额包含攻击者在第3步打入SharkMinter的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说SharkMinter合约误以为攻击者打入了巨量的手续费到合约中;7.SharkMinter合约在获取到手续费的数量后,会通过tvlInWBNB函数计算这部分手续费的价值,然后根据手续费的价值铸币SHARK代币给用户。但是在计算LP价值的时候,使用的是PantherWBNB/SHARK池的WBNB实时数量除以LP总量来计算LP能兑换多少WBNB。但是由于在第2步中,Panther池中WBNB的数量已经非常多,导致计算出来的LP的价值非常高;8.在LP价值错误和手续费获取数量错误的情况下,SharkMinter合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致SharkMinter合约给攻击者铸出了大量的SHARK代币;9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。9.攻击者后续通过卖出SHARK代币来换出WBNB,偿还闪电贷。然后获利离开。
慢雾首席信息安全官:安全人员发现iOS 16新漏洞,建议加密货币从业者不要使用越狱设备:金色财经报道,据慢雾首席信息安全官23pds发推称,网络安全研究人员发现iOS 16存在一种新的漏洞利用后持久化技术:即使受害者的苹果设备处于离线状态,也可以利用该技术悄无声息地访问该设备。提醒加密货币从业者不要图方便而使用越狱设备。
攻击的目的是成为一种人为的飞行模式,使用户界面的变化保持不变,但为通过其他方式安装在设备上的恶意有效载荷保留蜂窝连接,从而达到悄无声息的控制设备。[2023/8/20 18:11:25]
慢雾:CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus:7月26日消息,慢雾发推称,CoinsPaid、Atomic与Alphapo攻击者或均为朝鲜黑客组织Lazarus Group。慢雾表示,TGGMvM开头地址收到了与Alphapo事件有关TJF7md开头地址转入的近1.2亿枚TRX,而TGGMvM开头地址在7月22日时还收到了通过TNMW5i开头和TJ6k7a开头地址转入的来自Coinspaid热钱包的资金。而TNMW5i开头地址则曾收到了来自Atomic攻击者使用地址的资金。[2023/7/26 16:00:16]
慢雾:区块链因黑客攻击损失总金额已超300亿美元:金色财经报道,据慢雾统计数据显示,自2012年1月以来,区块链黑客造成的损失总金额约为30,011,604,576.24美元;黑客事件总数达到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别,损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式,分别发生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。