慢雾分析:Opyn 合约攻击者可以任意重置已创建 vault 地址来通过检查_VAULT:Yearn Compounding veCRV yVault

链闻消息,慢雾安全团队表示,在其中一笔Opyn合约的攻击中,攻击者仅使用272ETH最终得到467ETH。完整的攻击流程如下:攻击者使用合约先启动Opyn合约的reateERC20CollateralOption函数创建oToken。合攻击约调用运动函数,传入已创建库的地址。通过exercise函数中用于循环逻辑执行调用两次_exercise函数。exercise函数调用transferCollateral函数将USDC转给函数调用者。攻击合约调用removeUnderlying函数将预先定义的ETH转出。最终攻击者拿回了战斗补充的ETH以及额外的USDC。此次攻击主要是利用了_exercise函数中对vaultToExerciseFrom是否创建了vault的检查缺陷。此检查未纠正vaultToExerciseFrom是否是由参与者自己,而只是简单的检查是否创建了vault,导致攻击者可以任意重置已创建vault的地址来通过检查。

慢雾:7月3日至7月7日期间?Web3生态因安全问题损失近1.3亿美元:7月10日消息,慢雾发推称,自7月3日至7月7日,Web3生态因安全问题遭遇攻击损失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻击损失1.26亿美元。[2023/7/10 10:12:36]

慢雾:LendHub疑似被攻击损失近600万美金,1100枚ETH已转移到Tornado Cash:金色财经报道,据慢雾区情报,HECO生态跨链借贷平台LendHub疑似被攻击,主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后,将部分资金跨链到Heco链展开攻击后获利,后使用多个平台(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨链或兑换被盗资金。截至目前,黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析,慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

萨尔瓦多总统:投资者不必担心比特币价格走势,耐心是关键:6月19日消息,萨尔瓦多总统Nayib Bukele发推称,我看到有人对比特币价格走势感到担忧或焦虑。我的建议是:停止看行情图,享受生活。如果你已经投资BTC,你的投资是安全的,其价值将在熊市后大幅增长。耐心是关键。[2022/6/19 4:38:43]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-3:815ms