据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Polygon链上LibertiVault合约遭遇攻击,损失约123ETH和56,234USDT价值约29万美元,以及以太坊链上35ETH和96223USDT价值约16万美元,总共超45万美元。技术人员分析发现,本次攻击是由于LibertiVault合约存在重入漏洞所导致。
PancakeSwap将在Polygon zkEVM区块链上上线:6月29日消息,据开发者“Chef Cocoa”透露,去中心化交易所 (DEX) PancakeSwap 将在 Polygon zkEVM 网络上上线。
这将是继 BNB Chain、以太坊和 Aptos 之后PancakeSwap 上线的第四个区块链。[2023/6/29 22:08:52]
1、攻击者使用闪电贷借出500万USDT,调用LibertiVault合约deposit函数进行质押,其质押逻辑会将质押的代币一部分用于兑换,然后再计算铸币数量,铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。
P网Poloniex已正式上线比特币永续合约:据P网Poloniex最新消息显示,P网已于香港时间2020年8月5日20:00正式上线BTC永续合约,支持最高100倍杠杆。此外,P网还将在8月6日举办BTC合约交易大赛,总奖池高达80,000 USDT。更多详情见原文链接。
据悉,Poloniex成立于2014年,是注册于塞舌尔的老牌国际性数字货币交易平台,也是华尔街首批合规交易平台。P网总部位于美国波士顿,并在爱尔兰、塞舌尔、莫斯科、首尔、东京等世界各地设有独立办公室。P网曾获得百度、高德、高盛等国际知名机构投资,并于2019年获得波场TRON创始人兼BitTorrent CEO孙宇晨等投资人的注资, 资金实力雄厚。[2020/8/5]
2、而兑换操作swap会调用黑客的合约,此时黑客第一次重入调用deposit,并在此函数中二次重入,向合约打入250万USDT。
动态 | Polychain与Web3合作启动Polkadot生态系统基金:金色财经报道,Polychain Capital与Web3 Foundation合作,为Polkadot网络上的项目启动了Polkadot生态系统基金。据报道,已承诺的投资金额达“数百万”。预计Polkadot将于今年晚些时候正式推出,其被设想为一种可互操作的权益证明(PoS)区块链网络。[2019/10/30]
3、二次重入结束后,合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币,第一次重入的deposit函数运行结束后,黑客又向其中打入了250万USDT。
4、此时,执行完了外层deposit函数中的兑换操作,合约又会按照250万USDT与合约USDT余额比值进行铸币。
5、问题就出在第四点,按理来说,第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数,但这里是使用的重入的形式,合约余额在最开始就已经获取了,所以参数并未改变,还是使用的原来的余额进行计算,导致给黑客铸了大量的凭证代币。
6、最后黑客移除凭证代币,归还闪电贷获利。
Beosin
企业专栏
阅读更多
金色财经
金色荐读
Block unicorn
金色财经 善欧巴
区块链骑士
Foresight News
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。