据慢雾区消息, 2021 年 9 月 12 日,Avalanche 上 Zabu Finance 项目遭受闪电贷攻击,慢雾安全团队第一时间介入分析,并将分析结果分享如下。?
相关信息
Zabu Finance 是 Avalanche 上的下一代去中心化金融 (DeFi) 项目。Zabu Finance 成熟的生态系统包括收益聚合、收益耕作、抵押、筹款。
以下是本次攻击涉及的具体地址:
攻击流程
1、攻击者首先创建两个攻击合约,随后通过攻击合约 1 在 Pangolin 将 WAVAX 兑换成 SPORE 代币,并将获得的 SPORE 代币抵押至 ZABUFarm 合约中,为后续获取 ZABU 代币奖励做准备。2、攻击者通过攻击合约 2 从 Pangolin 闪电贷借出 SPORE 代币,随后开始不断的使用 SPORE 代币在 ZABUFarm 合约中进行`抵押/提现`操作。由于 SPORE 代币在转账过程中需要收取一定的手续费 (SPORE 合约收取),而 ZABUFarm 合约实际接收到的 SPORE 代币数量是小于攻击者传入的抵押数量的。分析中我们注意到 ZABUFarm 合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但 ZABUFarm 合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时 ZABUFarm 合约实际接收到的 SPORE 代币数量小于攻击者在提现时 ZABUFarm 合约转出给攻击者的代币数量。3、攻击者正是利用了 ZABUFarm 合约与 SPORE 代币兼容性问题导致的记账缺陷,从而不断通过抵押/提现操作将 ZABUFarm 合约中的 SPORE 资金消耗至一个极低的数值。而 ZABUFarm 合约的抵押奖励正是通过累积的区块奖励除合约中抵押的 SPORE 代币总量参与计算的,因此当 ZABUFarm 合约中的 SPORE 代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。4、攻击者通过先前已在 ZABUFarm 中有进行抵押的攻击合约 1 获取了大量的 ZABU 代币奖励,随后便对 ZABU 代币进行了抛售。
国际象棋联合会宣布通过Avalanche发布锦标赛数据和玩家排名:金色财经报道,国际象棋联合会 (FIDE)周五宣布,正在与Avalanche区块链合作,将其比赛带入Web3。该合作伙伴关系将创造“玩家和联合会的运营效率并提高游戏完整性”,例如在链上发布锦标赛数据和玩家排名,以及AVAX托管的锦标赛奖池。[2022/12/24 22:04:26]
MistTrack 分析过程
慢雾 AML 团队分析统计,本次攻击黑客获利约 60 万美元。
资金流向分析
慢雾 AML 旗下?MistTrack 反追踪系统分析发现,以太坊上的攻击者地址 (0x9ed...f86)?初始资金来自混币平台 Tornado.Cash 转入的 31 ETH。
Kava 11升级后用户新申领的奖励将不再有解锁期:10月20日消息,Kava官方表示,在拟于10月26日执行的Kava 11主网升级完成后,用户在Kava App新申领的奖励将不再有解锁期,因此建议Kava用户在主网升级后再进行奖励申领。[2022/10/20 16:32:11]
接着,将 30 WETH 跨链到?Avalanche。
攻击者在 Avalanche?上分别创建了攻击合约 1 和 2。
SBF:Solana和Avalanche是2022年最有可能成为以太坊杀手的区块链:1月19日消息,FTX首席执行官SamBankman-Fried在接受采访时表示,很看好Solana和Avalanche这两条以太坊杀手链在2022年的发展前景。Solana是唯一一个能达到工业规模使用的区块链,而Avalanche则是一个真正的链、一个很酷的链。
据CoinMarketCap数据显示,截止发稿时,Solana市值约为434亿美元,排名第7。Avalanche市值在过去一年增长6倍,目前为206亿美元,暂列第12名。(Decrypt)[2022/1/19 8:58:51]
接着,攻击者通过攻击合约 1 将 WAVAX 兑换为 SPORE,并将 SPORE 抵押到 ZABUFarm 合约中。
数据:当前Avalanche上总锁仓量为82.4亿美元 创历史新高:金色财经报道,数据显示,目前Avalanche上总锁仓量82.4亿美元,净锁仓量57亿美元。锁仓资产排名前五分别为Aave(27亿美元)、Wonderland(15亿美元)、TraderJoe(14亿美元)、BENQI(13亿美元)、Curve(6.62亿美元)。[2021/11/4 21:25:51]
攻击者通过攻击合约 2 从 Pangolin 闪电贷借出 SPORE 代币,随后多次在 ZABUFarm 合约中进行抵押/提现操作。
在获利后,攻击者将获利的约 45 亿 ZABU 代币多次兑换为 WAVAX 代币,再将 WAVAX 代币兑换为 201?WETH.e。
接着,攻击者将获利的 WETH.e 跨链到以太坊。
没有任何停歇,攻击者直接将获利资金通过 Tornado.Cash 转出。
经过以上分析,可以认为攻击者是较为专业的,毫不含糊地直接从 Tornado.Cash 转入初始资金,最后又通过 Tornado.Cash 顺利将获利资金转出。
总结
此次攻击是由于 Zabu Finance 的抵押模型与 SPORE 代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。
去中心化金融(DeFi)是一种新兴的金融技术,旨在消除金融交易中存在的中介机构,相较于以往,它的创新也为投资者开辟了多种收入途径.
1月4日,长沙经济技术开发区管理委员会办公室发布《长沙经济技术开发区(湖南自由贸易试验区长沙片区长沙经开区区块)区块链产业发展规划(2022-2026)》.
美国国税局称自7月底开始将陆续向上万名加密货币投资者发送信件敦促对加密货币缴税,加密税收已成为美国国税局的“优先处理事项”.
本文由公众号“老雅痞”laoyapicom授权转载AC退圈事件不仅在行业内引起了轩然大波,部分行业外和专注于二级市场的朋友也开始向雅痞哥了解起这件事的前因后果.
我国首部《密码法》将于2020年1月1日起正式施行。12月30日,广东省《密码法》宣讲大会在广州召开,会议强调全面贯彻实施《密码法》,让密码为广东“数字政府”保驾护航.
比利时监管机构金融服务和市场管理局(FSMA)敦促政府制定数字货币法规。 比利时金融服务和市场管理局从5月1日起实行加密监管新规:金色财经消息,比利时金融服务和市场管理局(FSMA)要求该地区的.
链资讯