2023年7月30日晚,多个项目迎来至暗时刻。
7 月 30 日 21:35左右,据Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,NFT 借贷协议JPEG'd项目遭遇攻击。
在Beosin安全团队正在分析之时,又有几个项目接连受损。
7 月 30 日 22:51左右,msETH-ETH池子被黑客突袭。
7 月 30 日 23:35左右,alETH-ETH 池子被同样的攻击方式破解。
紧接着,DeFi项目Alchemix、Metronome 项目归属的流动性池子相继遭遇攻击。
同一个攻击方式,被黑客多次利用,到底是哪里出了问题?
根据7 月 31 日凌晨以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞,加上原生的ETH可以在转账时调callback,导致这几个和ETH组的lp池子可以被重入攻击。
蚂蚁集团发布兼容以太坊的Web3开放联盟链等多个Web3产品:金色财经现场报道,蚂蚁集团数字数字科技开发者大会4月26日在杭州举行。蚂蚁集团资深副总裁、数字科技事业群总裁蒋国飞在演讲中披露,蚂蚁数科推出多个Web3产品,包括:1、支持万级节点、十万级交易TPS性能,以及PB级数据账本存储与处理能力的大规模区块链开放架构HOU;
2、开源跨链异构跨链协议AntChainBridge,AntChainBridge基于IEEE全球首个跨链通用国际标准打造,开源后开发者可以使用蚂蚁链的跨链代码,共建Web3开放生态;
3、联合多家机构发起成立Web3开放联盟链,覆盖Web3的区块链网络层、中间件层、应用层、访问层等四层架构的技术能力,并兼容以太坊等生态协议接入。此外,蚂蚁数科还与联通数科、紫光展锐联合发布了面向新能源场景的可信基带芯片。[2023/4/26 14:27:13]
接着Curve官方推特发文表示,由于重入锁出现故障,许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击,但其他池子是安全的。
中文在线注册多个元宇宙商标:12月1日消息,数据显示,近日,中文在线数字出版集团股份有限公司申请多个“奇想元宇宙”“古风元宇宙”“悬疑元宇宙”“IP元宇宙”商标,国际分类包括教育娱乐、社会服务等。
目前商标状态为“申请中”“等待实质审查”。11月25日,杭州中文宇宙科技有限公司成立,由中文在线数字出版集团股份有限公司全资持股。
?[2021/12/1 12:43:35]
以下为本次黑客攻击事件涉及的相关交易
●攻击交易
0xc93eb238ff42632525e990119d3edc7775299a70b56e54d83ec4f53736400964 0xb676d789bb8b66a08105c844a49c2bcffb400e5c1cfabd4bc30cca4bff3c9801
0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
阿里巴巴新加坡控股有限公司申请多个元宇宙商标:金色财经报道,天眼查App显示,近日,阿里巴巴新加坡控股有限公司申请注册“阿里元宇宙”“淘宝元宇宙”“钉钉元宇宙”等多项商标,国际分类涉及网站服务、教育娱乐、科学仪器等,目前商标状态均为申请中。[2021/9/29 17:14:34]
0x2e7dc8b2fb7e25fd00ed9565dcc0ad4546363171d5e00f196d48103983ae477c
0xcd99fadd7e28a42a063e07d9d86f67c88e10a7afe5921bd28cd1124924ae2052
●攻击者地址
0xC0ffeEBABE5D496B2DDE509f9fa189C25cF29671
0xdce5d6b41c32f578f875efffc0d422c57a75d7d8
0x6Ec21d1868743a44318c3C259a6d4953F9978538
0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324
ZG.COM交易平台多个币种24小时涨幅超10%:据ZG.COM官网显示,截止至今日17:30,其平台上多个币种24小时涨幅超10%:
LXC(310.61%),PRCC(41.94%),HDW(29.03%),CFO(25%),HGS(21.62%),MENT(11.87%),FOT(10.85%)。截止至发稿,BTC当前价格为9057.99 USDT,24小时涨幅为3.69%。
ZG.COM数字资产交易平台,目前全球综合排名前20名,推出的全币种合约已于近日上线,更多详情请见官网。[2020/3/5]
●被攻击合约
0xc897b98272AA23714464Ea2A0Bd5180f1B8C0025
0xC4C319E2D4d66CcA4464C0c2B32c9Bd23ebe784e
0x9848482da3Ee3076165ce6497eDA906E66bB85C5
0x8301AE4fc9c624d1D396cbDAa1ed877821D7C511
动态 | 862枚比特币自Bitstamp多个地址转至一未知地址:据Whale Alert监测,北京时间13点30分,862枚比特币自Bitstamp多个地址转至一未知地址。[2020/2/26]
根据Beosin安全团队的分析,本次攻击主要是源于是Vyper 0.2.15的防重入锁失效,攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。
黑客攻击准备阶段,首先通过balancer:Vault闪电贷借出10,000枚ETH作为攻击资金。
1. 第一步,攻击者调用add_liquidity函数将闪电贷借入的5000ETH添加进池子中。
2.第二步,随后攻击者调用remove_liquidity函数移除池子中的ETH流动性时再次重入进add_liquidity函数添加流动性。
3. 第三步,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。值得注意的是remove_liquidity函数和add_liquidity函数已经使用了防重入锁防止重入。
4.因此这里防重入存在并未生效,通过阅读如下图所示的左边存在漏洞的Vyper代码可以发现当重入锁的名称第二次出现的时候,storage_slot原有数量会加1。换而言之,第一次获取锁的slot为0,但是再次有函数使用锁后slot变为1,重入锁此时已经失效。
https://github.com/vyperlang/vyper/commit/eae0eaf86eb462746e4867352126f6c1dd43302f
截止发文时,本次攻击事件损失的资金已超5900W美元,Beosin KYT监测到目前c0ffeebabe.eth地址已归还2879个ETH,被盗资金仍在多个攻击者地址上。
关于本次事件造成的影响,7月31日消息,币安创始人赵长鹏CZ发推称,CEX喂价拯救了DeFi。币安用户不受影响。币安团队已检查Vyper可重入漏洞。币安只使用0.3.7或以上版本。保持最新的代码库、应用程序和操作系统非常重要。
7月31日消息,Curve 发推称,由于版本 0.2.15-0.3.0 中的 Vyper 编译器存在问题,CRV/ETH、alETH/ETH、msETH/ETH、pETH/ETH 被黑客攻击。此外,Arbitrum Tricrypto 池也可能会受影响,审计人员和 Vyper 开发人员暂未找到可攻击漏洞,但请退出使用。
可以看到本次事件造成的影响依然没有结束,这些池子有资金的用户还需要多加注意。
针对本次事件,Beosin安全团队建议:当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题,建议相关项目方进行自查。项目上线后,强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息,及时规避安全风险。
Beosin
企业专栏
阅读更多
Foresight News
金色财经 Jason.
白话区块链
金色早8点
LD Capital
-R3PO
MarsBit
深潮TechFlow
从chatGPT问世至今,AI就在以月为单位飞速进化着,其模型之多,迭代之快,让很多人不不禁惊觉:人类似乎真的站在了AGI大门的边缘.
2020 年 9 月,一个创新型名词“NFT(非同质化代币)”开始慢慢走入人们的视野,被少数早期玩家和机构捕捉.
不会评测手机的韭菜不是好的web3研究员。作为?个链上数据还没完全吃透的web3 研究员,没想到有朝??还要评测?机.
作者:金色财经记者Jessy 前言 Worldcoin爆火的背后,是UBI思想在区块链领域的一次实践。这个起源于上个世纪八十年代的经济理念,曾在现实世界中有过多次的实践.
神经网络 (neural network) 受到人脑的启发,可模仿生物神经元相互传递信号。神经网络就是由神经元组成的系统。如下图所示,神经元有许多树突 (dendrite) 用来输入,有一个轴突 (axon) 用来输出。
市场情绪是对交易者态度和情绪的评估,这些情绪会影响交易者的投资决策,尤其在高波动特性的加密市场下,市场情绪可能存在短时间的剧烈波动.