Cobo区块链安全团队就FlurryFinance攻击事件进行了分析,发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同,而是利用了FlurryFinance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵,进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用RabbitFinance的StrategyLiquidate合约来执行任意代码的技巧,但这个技巧涉及到的合约代码本身其实并不存在安全问题。
安全团队:yVaren项目存在恶意提案风险,请用户注意保护资金安全:金色财经消息,来自成都链安社区成员情报显示,yVaren项目中有人发起了一个恶意提案(提案ID:0)。成都链安安全团队分析发现:通过该提案,可以将yVaren项目金库的VRN代币全部授权给提案者(0xc59d7e226c8f222e2142bf0f4b3efa83370f8cab),若提案执行,那么提案者可将金库中所有VRN代币转移。目前提案还未执行,请用户注意保护资金安全。
据此前报道,Varen表示,某恶意行为者拟清空已停用的金库,VRN质押用户请尽快提现。[2022/8/15 12:26:16]
Cobo区块链安全团队提醒,开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。
安全团队:加密项目Saxon James Musk发生Rug Pull:8月7日消息,据Certik监测,加密项目Saxon James Musk疑似发生Rug Pull,代币SJMUSK下跌逾68%,0x53a开头的EOA地址不断卖出,已获利约1355 BNB(约42万美元)。[2022/8/7 12:07:49]
此前消息,2月22日,BSC链上的FlurryFinance遭到闪电贷攻击,导致协议中Vault合约中价值数十万美元的资产被盗。
安全团队:DEUS Finance攻击者已将5446枚ETH转移至Tornado Cash:金色财经消息,据CertiK安全团队监测,就在刚刚,DEUS Finance攻击者已将价值约1569万美元的5446枚ETH转移至Tornado Cash。攻击者钱包: eth:0x701428525cbac59dae7af833f19d9c3aaa2a37cb。[2022/4/28 2:36:47]
来源链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。