巴比特讯,据慢雾区情报,2021年9月12日,Avalanche上ZabuFinance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家。
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
安全公司:以太坊链上的Nostr代币疑似非官方创建,存在安全风险:金色财经报道,安全公司Fairyproof发布风险提示,以太坊链上的Nostr代币疑似非官方创建。Nostr 代币地址0xA2be922174605BAd450775C76CEb632369480336。Nostr 的部署者(0xC013Ef7bE164aAcD503A3FEe686f9aBE7988425c)疑似一个连续代币部署。(0xC013Ef7bE164aAcD503A3FEe686f9aBE7988425c) 的资金来源是0xad2Dc2a4f3287783b220DbDcC7AfB7F6EB0704b8。0xad2Dc2a4f3287783b220DbDcC7AfB7F6EB0704b8 曾经在3天前部署了 Damus 代币,并向eth上其他地址空投, 然后过了一段时间后, Damus撤走流动性, 疑似跑路。 在7天前部署的Ω (Ω) 代币也采用类似手法已经跑路。在之前追踪跟这些代币部署者关联地址, 都是采用类似手法进行疑似欺诈行为。
Nostr的合约代码也存在一些安全隐患, 合约管理员可以阻止用户在指定 uniswap 交易对上卖出代币。也可以将用户加入黑名单,还可以随意销毁其他用户代币。[2023/2/6 11:49:48]
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
声音 | 安全公司:Weblogic高危漏洞致黑客入侵 服务器变门罗币矿机:据腾讯御见威胁情报中心,近日,黑客利用疑似Weblogic反序列化漏洞入侵服务器进行挖矿,漏洞攻击成功后会下载挖矿木马Real.exe,分析发现该木马为python编写。服务器一旦感染此木马,将会致使机器资源消耗严重,严重影响日常工作运转。该木马目前感染近1万台服务器,其中北上广三省市受害程度位居前三。[2018/9/4]
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
360借壳成功A股上市,周鸿祎表示将依托AI、区块链等技术成为世界大安全公司:江南嘉捷正式更名为三六零安全科技股份有限公司(证券简称“三六零”,又称360,601360),三六零在上海证券交易所敲锣上市。这标志着经过历时三年的运作,360成功回归A股。谈到未来的发展,周鸿祎表示,当今社会网络安全进入了大安全时代,网络安全不仅仅是解决手机和电脑安全的问题,而是涉及国家安全、国防安全、社会安全、基础设施安全、城市安全以至于人身安全。360秉承安全第一的宗旨,将以大安全为核心,依靠人工智能、大数据、云计算、区块链、物联网等技术,希望不仅是全世界最大的网络安全公司,也希望成为中国乃至全世界最大的大安全公司,在安全的各个方面为国家、社会、股民提供好的产品和服务。[2018/2/28]
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。
参考:
攻击合约1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400
攻击合约2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd
抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb
攻击交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3
获利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。