事件起因
2021年6月23日,基于币安智能链的稳定币交易平台NerveFinance发推表示,收益聚合器ElevenFinance中与Nerve相关的机池或遭闪电贷攻击,知道创宇区块链安全实验室第一时间展开分析。
Celer推出的跨链桥cBridge宣布支持Nervos:7月12日消息,由区块链互操作性协议Celer Network推出的跨链桥cBridge宣布支持Nervos。用户现可通过cBridge在以太坊和Nervos EVM兼容层Godwoken之间进行对USDT、USDC、ETH、WBTC和DAI高速安全低成本的跨链转账。
此次桥接遵循此前Celer提出的「开放的原生资产跨链桥标准」,针对同一种原生资产跨链启用多方铸币者(multi-minter)资产合约,以使各协议和链可同时使用多个跨链解决方案,拒绝供应商锁定。此外,Celer表示未来将基于Celer消息跨链(Celer IM)框架支持对Nervos的通用消息跨链。[2022/7/12 2:07:11]
事件经过
萨尔瓦多会计法院:启动调查总统Nayib Bukele的比特币ATM购买和Chivo信息亭建设项目:金色财经报道,就在抗议者走上圣萨尔瓦多街头抗议总统Nayib Bukele实施新比特币法案并砸毁比特币 ATM之后,萨尔瓦多会计法院(Salvadoran Court of Accounts)宣布将启动调查Nayib Bukele的比特币ATM购买和Chivo信息亭建设项目,据悉,萨尔瓦多会计法院有权对该国政府官员实施制裁,除了Nayib Bukele之外,可能还包括一些萨尔瓦多商业和投资秘书处以及财政和经济部成员。(Bitcoin.com)[2021/9/17 23:33:24]
交易链接:https://bscscan.com/tx/0x6450d8f4db09972853e948bee44f2cb54b9df786dace774106cd28820e906789
火币全球站将于6月18日10暂停SEELE交易:据官网公告,Seele将于近期进行智能合约升级,火币全球站将在2020年6月18日10:00 (GMT+8) 暂停SEELE所有交易对交易 (SEELE/USDT,SEELE/BTC,SEELE/ETH),并于2020年6月24日恢复正常交易。暂停交易期间,如在火币全球站持有SEELE旧币,火币全球站将自动兑换为SEELE新币。[2020/6/15]
1.攻击者首先通过闪电贷借到USDT后将其中一部分兑换为NRV代币,然后再用NRV代币与USDT在pancakeswap上添加流动性获得LP代币。2.攻击者拿到lp代币后调用会收获挖矿合约MasterMind的NRV代币并将其从机池中兑换为11NRV代币,这样攻击者就有LP代币和11NRV代币。3.随后攻击者调用ElevenNeverSellVault合约添加流动性,获得了11nrvBUSD代币。
4.问题就出在添加流动性获得代币后,ElevenNeverSellValpult合约有一个紧急销毁函数,它可以提取合约内的代币余额,这样用户再调用该函数就从挖矿合约下提取了LP余额。
5.随后攻击者又取消流动性,又拿回了流动性池子中对应的LP代币。
6.最后攻击者将两次拿到一共82W的LP代币到pancakeswap中取消流动性,获得了NRV代币和BUSDT,再将NRV兑换为BUSDT后偿还闪电贷并完成套利。事件总结
本次闪电贷套利的本质还是合约函数的功能没有完善,没有充分考虑在紧急提取时销毁用户所属的奖励LP代币,目前官方表示Nerve资金和其他合约都还是安全的,建议必要时寻找审计机构进行代码的安全审计。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。