链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 火必 > 正文

POSI:Rikkei Finance遭黑客攻击,损失已有百万美元_QUAN

作者:

时间:

安全实验室监测到DeFi协议RikkeiFinance遭到黑客攻击,被盗资金中已有2600枚BNB被转入TornadoCash。

基础信息

攻击合约:

0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f

0x9ae92cb9a3ca241d76641d73b57c78f1bcf0b209

攻击者地址:

0x803e0930357ba577dc414b552402f71656c093ab

恶意预言机地址:

比特币支付应用Strike完成9000万美元融资:9月27日消息,基于比特币闪电网络建立的加密支付应用 Strike 完成 9000 万美元融资,本轮融资由 Ten31 领投,华盛顿大学圣路易斯捐赠基金会、怀俄明大学捐赠基金会和 Susquehanna 参投。

Strike 是基于闪电网络的加密支付应用,该公司致力于在日常支付方面挑战信用卡巨头 Visa 和万事达卡。[2022/9/27 22:34:25]

0xa36f6f78b2170a29359c74cefcb8751e452116f9

0x99423d4dfce26c7228238aa17982fd7719fb6d7f

新加坡区块链协会与戴姆勒东南亚合作推出Acentrik:金色财经报道,新加坡区块链协会 (BAS) 和戴姆勒东南亚宣布通过签署谅解备忘录 (MOU) 建立战略合作伙伴关系,以启动戴姆勒东南亚的战略计划 Acentrik,以解锁数据在企业中的潜力,并在B2B环境中实现基于代币的货币化。

通过这一战略合作伙伴关系,Acentrik和BAS将在相关的区块链计划上进行合作,以与BAS社区内的现有和潜在企业合作。双方还将努力推动企业在跨行业层面采用基于区块链的数据市场,为企业和行业的增长和转型做出贡献。戴姆勒东南亚新兴技术总经理Srikanth Kaja称,我们很高兴能成为BAS的官方合作伙伴,在社区内推动区块链的话题。在Web3.0应用程序和NFT领域,公司内部的采用率在全球范围内呈上升趋势。[2022/7/20 2:25:53]

攻击tx:

Strike将增加对多种法币和稳定币的支持:金色财经报道,比特币闪电网络钱包Zap旗下初创公司Strike正在推出对欧元、英镑和瑞士法郎的支持,随后将与加密货币交易所Bittrex Global合作,将增加对澳元和加元的支持。此外,Strike还将列出流行的稳定币USDT和USDC。[2021/1/7 16:36:06]

0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492

0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44

被攻击预言机地址:

0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5

流程

攻击者的攻击流程如下:

1.攻击者调用external可见性的setOracleData()函数将预言机设置为自己的恶意预言机。

2.由于恶意预言机替换了原来的预言机,导致预言机输出的rTokens价格可以被攻击任意操控。攻击者向RBinance合约发送0.0001BNB获得4995533044307110.024rBNB。

3.由于兑换了大量的rBNB,所以攻击者借出346199.781USDC。

4.攻击者将借出的346199.781USDC兑换成776.298WBNB。

5.攻击者重复第三步和第四步操作分别借出3.033BTCB、52275.873DAI、297082.798BSC-USD、299822.459BUSD并兑换成相应的WBNB。

6.将兑换的共2571.201BNB转移到攻击者账户上。

7.最后攻击者再次调用setOracleData()还原预言机状态。

另外一次攻击的手法相同,只是先将BNB兑换成BUSD再转去RBinance获得rBUSD。

细节

问题点就在于Cointroller中的SimplePriceOracle.sol(https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code)合约,其setOracleData的可见性为external,可以被外部调用。

修改预言机前的正常价格为416247538680000000000。

将rToken0x1578的预言机修改为恶意预言机0xa36f。

设置恶意预言机后将rToken价格提升到416881147930000000000000000000000。

后续处理

攻击者将盗取的BNB分批次转入TornadoCash中。

RikkeiFinance官方称将全额补偿漏洞利用攻击中受影响的所有用户。

总结

由于合约没有对setOracleData函数的可见性进行限制,导致了攻击者可以任意修改预言机地址,从而获取了从合约中代币,所以我们在写合约时一定要严格限制函数的可见性。

标签:POSIQUAQUANNCEPOSI价格EqualQuantum LeapDegen Token Finance

火必热门资讯
DOG:Dabb Doge (DDOGE)净买入大赛 — 豪送150,000 DDOGE!_DOGEBTC

亲爱的BitMart用户,DabbDoge(DDOGE)将于2022年4月22日17:00(香港时间)上线BitMart!为庆祝DDOGE上线,我们向广大交易用户开放净买入大赛活动—瓜分150.

KEX:BKEX 关于上线 YETI(Yeti Finance)并开放充值功能的公告_TPS

尊敬的用户:?????????BKEX即将上线YETI,详情如下:上线交易对:YETI/USDT??币种类型:AVAX-C充值功能开放时间:已开放交易功能开放时间:2022年4月19日15:00.

Gate.io Startup:Cult DAO (CULT) Sale Result & Listing Schedule

1CultDAO(CULT)TokenSaleResultTheGate.ioStartupCultDAO(CULT)saleresultisasfollows:CULTStartupSaleA.

?More than Re-entrancy : Revest Finance 被攻击事件分析

DeFi项目RevestFinance遭到黑客攻击,损失约200万美元。BlockSecTeam团队第一时间介入分析,并在tweeter上向社区分享了我们的分析成果.

NAR:币生有财:低点刷新后重新回到39000下方,还能走低吗_FLUNAR币

前言:投资有风险,操作需谨慎。文章审核需要时间,会出现延迟发布情况,文章仅供参考,欢迎阅览!本文撰写时间:4月18日14:43 行情回顾 周末行情波动不大,整体维持一个窄幅震荡,高点在40800.

SOLA:以太坊杀手Solana的生态侧链Solr正异军突起_FRZ Solar System Coin

侧链 侧链是平行于主链的一条区块链,可以针对主链无法实现的功能进行特定的功能拓展和Xing能提升.