据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Polygon链上LibertiVault合约遭遇攻击,损失约123ETH和56,234USDT价值约29万美元,以及以太坊链上35ETH和96223USDT价值约16万美元,总共超45万美元。技术人员分析发现,本次攻击是由于LibertiVault合约存在重入漏洞所导致。
Circle拨出1040万美元以解决SEC关于Poloniex的案件:7月21日消息,加密货币运营商Circle Internet Financial Ltd.表示,根据一份监管文件,它已经拨出1040万美元来解决美国证券交易委员会对Poloniex LLC(其已停止的加密货币交易所业务)提起的案件.根据本月早些时候提交给SEC的监管文件,Circle本月宣布将以45亿美元的特殊目的收购公司合并上市。
前一年,Circle收购Poloniex后,于2019年将其出售,并损失了1.568亿美元。Circle表示此次出售是为了 \"从与投机性加密货币交易有关的业务中剥离\",并使其业务与所提供的产品 \"更好地保持一致\"。根据该文件,SEC于2017年12月对Poloniex提出投诉,涉及 \"可能被定性为证券的加密货币交易\"。
3月,Poloniex提出以1,040万美元的价格解决此案。此外,在文件中,Circle还披露它正在接受美国财政部外国资产控制办公室对其已停止的Poloniex业务的调查。(华尔街日报)[2021/7/21 1:06:42]
1、攻击者使用闪电贷借出500万USDT,调用LibertiVault合约deposit函数进行质押,其质押逻辑会将质押的代币一部分用于兑换,然后再计算铸币数量,铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。
BiKi将支持波卡Polkadot平行链插槽拍卖:据官方公告,为助力波卡生态发展,BiKi平台将支持波卡平行链插槽拍卖。此前,BiKi平台已上线DOT锁仓理财,并上线波卡生态专区。平台将于近期上线对应的活动,用户可直接通过平台参与Polkadot和Kusama插槽拍卖并赚取项目奖励.[2021/1/13 16:05:42]
2、而兑换操作swap会调用黑客的合约,此时黑客第一次重入调用deposit,并在此函数中二次重入,向合约打入250万USDT。
明年起Polkascan不再为Kulupu提供服务:11月23日消息,Polkascan基金会决定从明年1月1日起将不再为Kulupu提供服务。Kulupu是在Substrate上构建的工作量证明PoW区块链,Kulupu资助Polkascan社会合约的有效期到2020年12月31日为止。[2020/11/23 21:45:18]
3、二次重入结束后,合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币,第一次重入的deposit函数运行结束后,黑客又向其中打入了250万USDT。
4、此时,执行完了外层deposit函数中的兑换操作,合约又会按照250万USDT与合约USDT余额比值进行铸币。
5、问题就出在第四点,按理来说,第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数,但这里是使用的重入的形式,合约余额在最开始就已经获取了,所以参数并未改变,还是使用的原来的余额进行计算,导致给黑客铸了大量的凭证代币。
6、最后黑客移除凭证代币,归还闪电贷获利。
Beosin
企业专栏
阅读更多
金色财经
金色荐读
Block unicorn
金色财经 善欧巴
区块链骑士
Foresight News
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。