10月27日,成立于2020年的TeamFinance在官方Twitter发声,该协议管理资金在由Uniswapv2迁移至v3的过程中遭到黑客攻击,损失达1450万美元。
在事件发生后的第一时间,欧科云链链上卫士团队凭借超200TB的链上数据量储备,快速对黑客地址进行数据追踪、手法解析,并及时通过官方渠道反馈TeamFinance分析结果,避免链上损失态势进一步扩大。
据链上卫士安全团队分析,此次受到攻击的项目方UniswapV2池子有CAW、TSUKA、KNDX、FEG。
AmazingTeam完成一次大规模销毁:据官方消息,ADOGE治理代币AmazingTeam,其开发团队被“股东信任欺诈”,现在完成了一次大规模的销毁,总计销毁3.3万枚代币,代币总量10万枚,价值800万人民币。[2022/8/2 2:54:01]
依托于区块链链上数据可溯源、不可篡改的特性,链上卫士团队将链上追踪结果以图表的方式展现,通过黑客资金流向图,用户可清晰地了解黑客盗取资金后的动态。
准备盗取资金的对象:即需要迁移的币对FEG-WETH
而取回的币对却是黑客创建的无价值的token0:0x2d4abfdcd1385951df4317f9f3463fb11b9a31df和有价值的token1:WETH
动态 | 比特币官方提醒Steam已经可以重新启用BTC和BCH付款:今日,比特币官方在Twitter表示:steam_games平台已可以重新启用BTC和BCH支付,之前提到的禁用比特币支付的原因已经不再是问题,通过BitPay将更不是问题(或指通过BitPay已经可以开具发票)。据此前消息,2017年12月初,游戏平台Steam宣布停止对比特币支付的支持。[2019/3/23]
两者的不一致,是导致该合约被攻击的根本原因!
在这一步中,黑客首先通过lockToken锁仓攻击token,lockedToken变量会记录锁仓详细信息,其中关键字段为withdrawAddress,该字段存在可以满足后续migrate的权限判断。
动态 | Coinbase收购Neutrino引争议 宣布解雇Hacking Team前员工:据CoinDesk消息,3月4日,Coinbase首席执行官Brian Armstrong发布博文称,Coinbase和Neutrino决定解雇曾在Hacking Team的IT初创公司工作过的员工,无论他们目前是否与这家初创公司有任何联系。此前2月27日消息,Coinbase于2月19日收购了区块链分析初创公司Neutrino,但由于几位主要领导人都曾在间谍软件情报公司Hacking Team担任过要职,引起了争议,随后Coinbase回应称已做相应审查不为黑客行为辩护。[2019/3/5]
#Step3:
UniswapV3调用v3Migrator.migrate方法,迁移FEG-WETH流动性对。
在这一步中,UniswapV3Migrator合约在接收到TeamFinance中传入的参数,会迁移UniswapV2的LP,燃烧LP,获取底层资产$FEG和$WETH,根据转换参数只有1%进入V3pool,其余99%退还给发送合约,TeamFinance将返回到token发送给攻击合约。
Step3步骤拆解:
黑客调用TeamFinance得合约进行LP迁移,利用Step1中准备好的withdrawAddress和msgSender吻合,通过权限检查。
由于TeamFinance的迁移逻辑没有检验交易id与migrateparams的相关关系,黑客通过上面校验后,真正迁移的是黑客输入的params参数。
该参数指定的migrate为与黑客锁仓token无任何关系的FEG-WETH交易对,且迁移数量为TeamFinance持有的全部LP,但参数指定只migrate1%。
此外,相同手法对其它3个流动性池进行了攻击:
USDC到相关项目方,共计约1340万美元。
此次攻击事件,漏洞的本质原因是对输入参数的校验逻辑有问题。黑客通过锁仓毫无价值的token,获取了调用migrate接口的权限。进一步调用UniswapV3的migrate的参数,完全由黑客输入,导致可以从其合约内迁移其他LP资产,结合UniswapV3的migrate处理是首先燃烧所有LP资产,再按照输入的percentage进行迁移,并返还剩余资产,使得黑客可以通过只迁移1%资产,从而窃取剩余99%的资产。
总而言之链上安全无小事,欧科云链再次提醒:重要函数的参数校验要仔细。建议在项目上线前,选择类似链上卫士的专业安全审计团队进行全方位审计筛查,最大化规避项目上线后的安全风险。
尊敬的用戶:根據Flow官方計劃,FLOW將於(GMT8)2022年11月02日23:00進行網絡升級和硬分叉.
ForesightNews消息,根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示.
区块链是去中心化的计算机网络,可以在数字账本中追踪用户账户余额和数据。区块链没有中心化的管理者,而是采用去中心化共识对账本更新达成一致协议,并最终执行更新.
在看跌的加密货币市场中,币安的BNB代币一直在努力保持收益。按市值计算的第四大加密货币在过去7天内保持了超过15%的利润。当包括比特币在内的其他顶级代币难以在绿域进行交易时,就会出现这种情况.
“Web3开发究竟包含哪些技术栈?”“转型做Web3开发的薪资水平如何?”相信每个刚进入或者准备进入Web3的开发者,都会在不同时刻有关于Web3技术栈、Web3薪资待遇的疑问.
继上周狗狗币教父埃隆·马斯克收购TwitterInc.之后,加密货币市场的日交易量飙升,其中稳定币处于领先地位.
链资讯