8月4日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,跨链收益率提升平台Popsicle Finance下Sorbetto Fragola产品遭到攻击,导致了约2070万美元的损失,攻击者共获利2.6K WETH,5.4M USDC,5M USDT,160K DAI,10K UNI,和96 WBTC。
攻击如何发生 Event overview
首先,跟我们了解一下Popsicle Finance是什么?
这是一个很有意思的项目,主要做跨链流动性挖矿。在DeFi 大热的时候,大家都在找流动性挖矿的机会,希望让自己的资产收益最大化。但因以太坊主网 gas 费用居高不下,给了二层、侧链、其他区块链迅速发展壮大的机会。在多链时代下,Popsicle Finance就在这样的背景下诞生了。
在遭到黑客攻击后,Popsicle Finance团队成员立即发推表示,目前仅有 Sorbetto Fragola 一款产品受到影响。团队将在几周内修复漏洞并对用户损失进行赔偿。
攻击者如何得手 Event overview
攻击者地址:
0xf9E3D08196F76f5078882d98941b71C0884BEa52
攻击合约:
A:
0xdfb6fab7f4bc9512d5620e679e90d1c91c4eade6
B:
两位比特币开发者建议利用UTXO所有权证明解决闪电网络通道阻塞问题:11月26日,BitMEX发文称,比特币核心贡献者和研究员Gleb Naumenko和开发者Antoine Riardwe已探索出一种新方法可以用来缓解闪电网络通道干扰。他们建议使用比特币未花费交易输出(UTXO)所有权证明(也称为权益证明)解决闪电网络通道阻塞问题。UTXO所有权证明可以证明其整体资金归属,闪电网络节点可根据其证明观察其余额,付款人支付受到该余额的限制,且该规则由路由节点强制执行,防止网络自由通道阻塞。[2020/11/27 22:17:02]
0x576Cf5f8BA98E1643A2c93103881D8356C3550cF
C:
0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8
攻击交易:
0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc
攻击者使用相同的攻击方式获利了多种代币,以下以USDT为例分析:
Round 1
攻击者使用合约A通过闪电贷获取USDT和ETH。
Round 2
通过合约A调用SorbettoFragola的deposit函数获取凭证代币PLP。
Round 3
将PLP发送给合约B并执行SorbettoFragola的collectFee函数,这时输入的amount均为0,更新合约B的奖励参数。之后将PLP发送到合约C,进行同样的操作。合约C完成操作后将PLP发送回合约A。
因为合约B、C持币,所以会计算更新其奖励(不随代币转移清空),更新后的数值如下图所示:
Round 4
合约A执行SorbettoFragola的withdraw函数,销毁PLP代币。取出本金后更新相关参数为最新。
Round 5
接着合约B与合约C再度执行collectfee函数。
输入的amount为上面更新后的数值tokenReward。
这时因为满足此处条件,所以会到pool地址(UNIV3的对应交易对地址)去移除流动性,并将代币发送给合约B、C。
Round 6
合约C再次调用collectfee函数获利。
此时amount如下图所示:
最后,满足调用pay函数的条件,通过pay函数向合约C发送代币。
事件复盘
我们需要注意什么 Case Review
Popsicle Finance最初管理的是跨链流动性,于6月26日推出Sorbetto Fragola 以管理Uniswap v3流动性。
项目方应该也没有预料到,黑客会在今日进行攻击,导致了约2070万美元的损失。可见,安全预判是多么重要。
注意
成都链安在此建议,对于项目方而言,在PLP转移时,应该重新计算并更新PLP发送方与接收方的奖励值,避免奖励重复发放。此外,项目的逻辑缺陷一定要得到重视。
标签:NFTLOOTOLEOUTnfts币现在多少钱一个LOOT币TadpolesSouth African Tether
议程表 链下扩容问题 扩展性技术 链下移动计算 数据可用性问题 经典区块链设计 冗余的作用 编码欺诈性证明 欺诈性证明权衡 规避欺诈性证明 展望 问题所在 以太坊等公共区块链上的每笔交易都需要由网络中的每个节点处理 那么交易吞吐量不能高于单个节点可以处理的数量 如果我们增加每个单独节点的处理工作量——例如增加块大小。
过去两周加密领域最热的莫过于Loot,前些日子还是诸如CryptoPunks这些头像热,瞬间就切换到文字NFT热。这是加密世界的节奏,让人眼花撩乱。 关于Loot,已经有很多朋友都有不少了解。
市面上有很多关于 Loot 的基本面和数据面的文章,这里就不聊这些了。今天作为一位物理系的童鞋,给大家分享一些几个从物理学的角度对 Loot 现象的看法。 爱因斯坦在研究引力场方程时曾提出虫洞理论,认为「虫洞」就是连接宇宙遥远区域间的时空细管,而暗物质就是维持着虫洞出口的开启。而我认为 Loot 这种新的 NFT 范式就是连接孤立元宇宙的虫洞。
CryptoBlades是BSC上一款NFT卡牌对战类游戏,游戏最早在6月初上线,6月下旬skill大暴涨,当时正是GameFi概念大火时期,经历一阵的疯狂后,市场趋于冷静,币价出现回调,但CryptoBlades热度未受到较大影响,币价回调,入场门槛降低,是入场练手的好时机。
本文由ChainLink原创,授权金色财经首发,转载请注明出处。 房地产是价值最高的资产类别,2020年价值为26873.5亿美元,预计到2025年将达到37170.3亿美元。而区块链技术的出现势必将颠覆整个房地产行业。
今年6月,拥有百万级粉丝的比特币评论人士Anthony Pompliano分享了一份来自去中心金融数据聚合商DeFi Llama的数据,数据显示Sovryn的TVL(累计总锁定价值)已达到了19.5亿美元,超越了Uniswap v3。
链资讯