原文作者:九九,慢雾安全团队
2022 年 6 月 27 日,据慢雾区消息,XCarnival 项目被曝出严重漏洞遭黑客攻击并盗走 3,087 个 ETH(约 380 万美元)。XCarnival 是一个 ETH 链上的 NFT 借贷项目,目前项目团队正在修复漏洞并承诺会对受影响的用户提供解决方案。慢雾安全团队第一时间介入分析,并将结果分享如下:
核心合约地址
P2Controller:
0x34ca24ddcdaf00105a3bf10ba5aae67953178b85
XNFT:
0x39360AC1239a0b98Cb8076d4135d0F72B7fd9909
xToken:
0x5417da20aC8157Dd5c07230Cfc2b226fDCFc5663
攻击者 EOA 地址
0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a
Cardano生态DEX平台SundaeSwap完成代码审计,将准备上线主网:金色财经报道,12月29日,基于Cardano的DEX平台SundaeSwap 宣布由 Runtime Verification 团队对其完成代码审计,SundaeSwap 首席信息官 Pi Lanningham 表示,该项目现已能够满足 Cardano DeFi 社区的标准和需求。
据悉,SundaeSwap 于 12 月初启动测试网,本次审计完成后,其主网上线的准备工作将即刻进行。[2021/12/29 8:12:31]
攻击合约地址
0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d
0x234e4B5FeC50646D1D4868331F29368fa9286238
0x7B5A2F7cd1cc4eEf1a75d473e1210509C55265d8
0xc45876C90530cF0EE936c93FDc8991534F8A6962
NFT社交平台Pulsr完成200万美元融资:11月10日消息,专注价格发现的NFT社交平台Pulsr完成200万美元融资,投资方包括SpartanGroup、红杉基金(TheSequoiaFund)、FutureFund、AnthonyPompliano以及TokenSoft首席执行官MasonBorda等。Pulsr计划于11月11日启动,将利用这笔融资资金来构建由人工智能驱动的搜索、钱包以及用于NFT策展的代币。(TheDefiant)[2021/11/10 6:43:02]
1.攻击者通过 XNFT 合约中的 pledgeAndBorrow 函数来进行抵押 NFT 并借出 xToken。
在 pledgeInternal 函数中转入 NFT 并生成订单:
点存科技:节点出线后遭受大量DDOS攻击:据点存科技官方消息,其集群节点t01155在10:38出线后,暴露的IP地址遭大量DDOS攻击,攻击带宽达到21 Gbps。此前,曾有Slack用户“宋江”扬言要攻击挖矿节点。[2020/8/25]
2. 接着调用 withdrawNFT 函数提取出质押的 NFT,其中首先判断该订单是否被清算状态,如果不是则判断该订单的状态是否为 NFT 还未被提取且借款金额为 0(无负债),如果通过即可提取抵押的 NFT。
3. 以上为攻击前生成订单的准备操作,接着攻击者开始利用生成的订单直接调用 xToken 合约中的 borrow 函数进行借款。
在 borrowInternal 函数中,会外部调用 controller 合约中的 borrowAllowed 函数来判断是否可以借款。
可以看到在 borrowAllowed 函数会调用 orderAllowed 函数进行订单相关信息的判断,但是在这两个函数中均没有进行 _order.isWithdraw 状态的判断。因此攻击者可以利用之前生成的订单(订单里的抵押的 NFT 已经被提走)来调用 XToken 的 borrow 函数来借款,而因为抵押的 NFT 在之前已经被提出,故攻击者可以不用还款来实现获利。
此处仅展示其中一笔攻击交易的细节,其余攻击交易的手法均一致,不再赘述。
攻击前准备——生成订单的交易:
0x61a6a8936afab47a3f2750e1ea40ac63430a01dd4f53a933e1c25e737dd32b2f
1. 首先攻击者将 NFT 转入攻击合约并进行授权,接着调用 xNFT 合约中的 pledgeAndBorrow 函数在进行抵押 NFT 生成订单并借款的操作,此处需要注意一点是该函数可以控制传入的 xToken,攻击者传入了自己构造的 xToken 合约地址,并且让借款数量为 0,目的是为了满足后续能成功提出 NFT 时的不被清算且负债为 0 的条件。
2. 攻击者紧接着调用 withdrawNFT 函数来进行提取抵押的 NFT:
正式攻击交易:
0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35
攻击者调用 xToken 合约的 borrow 函数,传入之前生成的订单的 orderID,重复了该操作 22 次(orderID: 45 - 66),而因为 NFT 在准备阶段已经提走,估计无需还款以此来获利。
本次漏洞的核心在于借款的时候,没有进行订单中 NFT 是否被提走的状态的判断,导致攻击者可以在把 NFT 提走之后再利用之前生成的订单来借款而无需还款,以此来获利。针对此类漏洞,慢雾安全团队建议在进行借款操作时应做好订单状态中是否已经提走抵押品的判断,避免再次出现此类问题。
1.金色观察 | Bankless: 2022下半年 这五种加密投资趋势值得你注意 2022年已经过去一半,之前这半年像是一场恶作剧,现在是时候展望未来了。虽然现在大多数人的目光可能都集中在宏观不稳定上,但协议层面也发生变化,将在后半年产生重大影响。
根据以太坊基金会官方公告,以太坊主网(ETH1)将于 6 月底进行 Gray Glacier 硬分叉升级,这也是以太坊历史上第十二次硬分叉升级。
PANews 6月29日消息,Terra研究员FatMan发推文称,加密借贷公司Hodlnaut内部人员向其发布了一些信息,看到了来自Hodlnaut CEO朱俊涛发布的有关于他们在4月份添加UST真相的内部消息,朱俊涛承认Hodlnaut添加了UST是为了利用散户作为退出流动性来脱手该公司的UST头寸。
随着区块链的出现和发展,世界开始在很多行业中追求开放、透明、去中心化。在短短几年时间里,比特币和支付系统的区块链给人们提供了更多领域的用例,比如让金融去中心化,让艺术和创造力的世界向有才华的人开放等。在不到10年的时间里,NFT、DeFi、Web 3.0的概念已经遍及世界。发展出DeSci(去中心化科学)其实也就不足为奇了。
原文作者:Raoul Pal,Real Vision CEO 原文翻译:0x137,BlockBeats Raoul Pal 是全球宏观金融研究机构 Global Macro Investor 和 Real Vision 的创始人,也是当前加密领域最知名的 KOL 之一。
在本文中,我们将学习如何将以太坊智能合约连接到React应用程序,并使用户能够与之交互。 要在浏览器中安装MetaMask扩展 一个代码编辑器 关于以下主题的一些知识:以太坊,MetaMask, React, TypeScript 在以太坊主网上工作要花真金白银! 在本教程中,我假设的是你的MetaMask设置为使用Rinkeby。