北京时间2022年8月2日13点,CertiK安全团队监测到ReaperFarm的ReaperVaultV2合约被恶意利用,导致了价值超过160万美元的损失。
攻击者利用ReaperVaultV2合约中的一个漏洞——可以销毁其他用户的vaultshare并提取代币,以此从多个vault提取了大量的代币。
Cream Finance金库在Furucombo漏洞中损失110万美元:Cream Finance刚刚发推文称:“这个漏洞影响了我们的金库资金。我们已经从钱包里撤销了所有对外部合同的批准,但损失了110万美元。C.R.E.A.M.市场功能正常,没有受到影响。我们将等待Furucombo团队的进一步细节。”此前消息,此前消息,DeFi平台Furucombo代理遭攻击,被盗金额达1400万美元以上。随后,Furucombo表示,已找到根本原因且资金现已安全,正调查被盗资金并组织后续行动。[2021/2/28 17:59:55]
截至北京时间2022年8月3日8点,160万DAI、62ETH以及200Matic已被存入TornadoCash。
CSW已撤回针对Blockstream联合创始人Adam Back的诽谤诉讼:去年6月,CSW曾向英国法院提起针对Blockstream联合创始人Adam Back的诽谤诉讼。Adam透露,在该团队提交了辩护文件后,CSW方已决定撤诉,SCA(CSW方律师)拒绝对CSW的撤诉做出任何解释。此外,CSW同意全额报销Adam的法律费用,总计约2万英镑。(CoinGape)[2020/4/13]
攻击步骤
动态 | 人道主义援助组织Bitcoin Venezuela正测试Blockstream侧链Liquid:人道主义援助组织Bitcoin Venezuela发推称,其正在测试Blockstream的侧链Liquid,以支持使用L-BTC及L-USDt对委内瑞拉居民进行捐赠。该组织称,之所以决定测试Liquid,是因为数以百万计的委内瑞拉居民想要使用美元购物,但他们没有Zelle(支付应用)、美元现金或外国信用卡,所以L-USDt可能会对他们有所帮助。[2020/2/23]
①攻击者部署了一个攻击者合约,通过该合约,攻击者可在一次交易中从Reapervault提取多个用户的资产。
②ReaperVaultV2合约并未检查shareowner与messagesender之间的关系,因此攻击者可以多次通过攻击者合约提取vault用户的资产。
③攻击者将从金库提取的代币换成DAI、ETH和Matic,并将其存入TornadoCash。
漏洞交易
漏洞交易之一:
https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5
其余漏洞交易:
https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a
漏洞分析
在ReaperVaultV2合约的`withdraw()`函数中,vaultshare所有者可以是msg.sender以外的账户。同时,所有者与msg.sender之间的关系或是allowance未被选中,意味着人们可以从vault提取其他用户的资产。
写在最后
本次攻击事件本可通过审计发现「缺乏访问控制」这一风险因素。该风险因素将被归类于严重等级的风险。
而除审计外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
投资者一周撤资70亿美元全球最大稳定币还能稳得住么?此前,Tether声称其发行流通的USDT都与1美元挂钩.
Polkadot生态研究院出品,必属精品波卡一周观察,是我们针对波卡整个生态在上一周所发生的事情的一个梳理,同时也会以白话的形式分享一些我们对这些事件的观察.
重点 ?切源于资源定价 FuelV1是在以太坊上推出的第?个optimisticrollup,是?前唯?具有欺诈证明、不可变的智能合约和?许可区块?产的rollup。它是为P2P?付设计的.
原文作者:KevinSchwartzandDavidAdlerstein原文标题:DecentralizedGovernanceandtheLessonsofCorporateGovernanc.
8月3日,成都链安鹰眼-区块链安全态势感知平台舆情监测显示,Solana发生大规模盗币事件,截止发稿前,有近1万多个Solana钱包地址遭受攻击.
arkworksformarlin Marlin Fractal RICS 则R1CS成立。 TransitionintoPolynomial(efficiency) Prepare Defin.
链资讯