据消息,去中心化交易平台DODO的wCRES/USDTV2资金池被黑客攻击,转走价值近98万美元的wCRES和近114万美元的USDT。DODO表示,团队已下线相关资金池建池入口,该攻击仅影响DODOV2众筹池,除V2众筹池之外,其他资金池均安全;团队正在与安全公司合作调查,并努力挽回部分资金。更多后续消息请关注DODO官方社群公告。慢雾安全团队在第一时间跟进并分析,下面将细节分析给大家参考。攻击细节分析
NFT数据存储平台NFT.Storage推出NFT Forever项目:3月15日消息,NFT 数据存储平台 NFT.Storage 宣布推出 NFT Forever 项目,以证明 Filecoin 的新虚拟机(FVM)可以通过智能合约保证可验证存储。
NFT.Storage 现在可以获取已经存储在 Filecoin 中的 NFT 数据,并通过智能合约自动更新数据存储协议。据悉,NFT.Storage 通过 IPFS 和 Filecoin 提供超过 1.15 亿个 NFT 资产。[2023/3/15 13:05:44]
通过查看本次攻击交易,我们可以发现整个攻击过程非常短。攻击者先将FDO和FUSDT转入wCRES/USDT资金池中,然后通过资金池合约的flashLoan函数借出wCRES和USDT代币,并对资金池合约进行初始化操作。
蒂芙尼将于10月26日向NFTiff持有者展示CryptoPunks定制吊坠:10月25日消息,蒂芙尼副总裁Alexandre Arnault在社交媒体表示,NFTiff持有者,请在10月26日查看您的收件箱,查看定制1/1@TiffanyAndCo吊坠。随后,Alexandre Arnault又发布了一个先睹为快的推文,其中展示了基于CryptoPunk#3468的18K玫瑰金吊坠,上面有86个钻石。
此前报道,8月1日,美国珠宝品牌蒂芙尼(Tiffany&Co.)宣布推出NFTiffs NFT系列。该系列限量250枚,售价30ETH,仅限CryptoPunk持有者购买。[2022/10/26 16:38:49]
宝莱坞明星为NFT销售缴税:金色财经消息,据当地媒体报道,宝莱坞超级明星和印度偶像阿米塔布-巴强据说在去年11月为销售不可伪造的代币(NFTs)支付了超过130,700美元(约1000万印度卢比)的商品和服务税(GST)。
据报道,在Rhiti Entertainment和GuardianLink.io的合资公司Beyondlife组织的拍卖会上,Bachchan的NFTs在beyondlife.club平台上的售价约为96.6万美元,并将征收18%的消费税。这些藏品包括 \"Madhushala \"NFT系列,演员对其父亲Harivansh Rai Bachchan所写诗歌的叙述,以及有七张亲笔签名的老海报等等。(forkast)[2022/3/24 14:15:28]
为何存入FDO和FUSDT代币却能成功借出wCRES和USDT,并且初始化资金池合约呢?是因为资金池的闪电贷功能有漏洞吗?接下来我们对flashLoan函数进行详细分析:
电子游戏巨头EA计划探索区块链和NFT:金色财经报道,根据最近在LinkedIn发布的招聘信息,电子游戏巨头美国艺电公司旗下的EA Sports正在为其竞技游戏部门招聘一位精通加密货币的高级品牌总监。该公司正在探索区块链和NFT的机会。[2021/8/27 22:39:57]
通过分析具体代码我们可以发现,在进行闪电贷时会先通过_transferBaseOut和_transferQuoteOut函数将资金转出,然后通过DVMFlashLoanCall函数进行具体外部逻辑调用,最后再对合约的资金进行检查。可以发现这是正常闪电贷功能,那么问题只能出在闪电贷时对外部逻辑的执行上。通过分析闪电贷的外部逻辑调用,可以发现攻击者调用了wCRES/USDT资金池合约的init函数,并传入了FDO地址和FUSDT地址对资金池合约进行了初始化操作。
到这里我们就可以发现资金池合约可以被重新初始化。为了一探究竟,接下来我们对初始化函数进行具体的分析:
通过具体的代码我们可以发现,资金池合约的初始化函数并没有任何鉴权以及防止重复调用初始化的逻辑,这将导致任何人都可以对资金池合约的初始化函数进行调用并重新初始化合约。至此,我们可以得出本次攻击的完整攻击流程。攻击流程
1、攻击者先创建FDO和FUSDT两个代币合约,然后向wCRES/USDT资金池存入FDO和FUSDT代币。2、接下来攻击者调用wCRES/USDT资金池合约的flashLoan函数进行闪电贷,借出资金池中的wCRES与USDT代币。3、由于wCRES/USDT资金池合约的init函数没有任何鉴权以及防止重复调用初始化的逻辑,攻击者通过闪电贷的外部逻辑执行功能调用了wCRES/USDT资金池合约的初始化函数,将资金池合约的代币对由wCRES/USDT替换为FDO/FUSDT。4、由于资金池代币对被替换为FDO/FUSDT且攻击者在攻击开始时就将FDO和FUSDT代币存入了资金池合约,因最终通过了闪电贷资金归还的余额检查而获利。总结
本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制,导致攻击者利用闪电贷将真币借出,然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币,从而绕过闪电贷资金归还检查将真币收入囊中。参考攻击交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
随着3月11日十三届全国人大四次会议闭幕,2021年全国两会也正式落下帷幕,今年的经济工作方向也将变得清晰.
编者按:本文来自巴比特资讯,作者:Apatheticco,星球日报经授权发布。据TheBlock援引相关人士消息,知名加密风投基金a16z正在参与NFT交易市场OpenSea的新一轮融资,该轮募.
我每个月都会把一部分金钱预算放在音乐方面。在新冠疫情之前,我会去看LiveShow、买一些唱片以及订阅流媒体平台.
本文作者:Qinwen琴文Web3基金会中国社区负责人Polkadot.Network波卡网络理事会成员出版艺术家www.qinwenwang.com我的职业生涯横跨“艺术与科技”的两岸.
头条 eToro将通过与空白支票公司合并以104亿美元的估值上市加密货币交易平台eToro通过与一家特殊目的收购公司FinTechAcquisitionCorp.V的合并上市.
编者按:本文来自链闻ChainNews,撰文:CryptoBriefing,加密资产研究机构,翻译:LeoYoung,星球日报经授权发布。NFTX是非同质化代币指数基金协议.
链资讯