链闻消息,慢雾团队发布了SpartanProtocol被攻击过程的简报,具体如下:1.攻击者通过闪电贷先从PancakeSwap中借出WBNB2.在WBNB-SPT1的池子中,先使用借来的一部分WBNB不断的通过swap兑换成SPT1,导致兑换池中产生巨大滑点3.攻击者将持有的WBNB与SPT1向WBNB-SPT1池子添加流动性获得LP凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的LP数量并不是一个正常的值4.随后继续进行swap操作将WBNB兑换成SPT1,此时池子中的WBNB增多SPT1减少5.swap之后攻击者将持有的WBNB和SPT1都转移给WBNB-SPT1池子,然后进行移除流动性操作6.在移除流动性时会通过池子中实时的代币数量来计算用户的LP可获得多少对应的代币,由于步骤5,此时会获得比添加流动性时更多的代币7.在移除流动性之后会更新池子中的baseAmount与tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值8.因此在与实际有差值的情况下还能再次添加流动性获得LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币9.之后攻击者只需再将SPT1代币兑换成WBNB,最后即可获得更多的WBNB
慢雾:PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出,在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。
此前报道,PAID Network今天0点左右遭到攻击,增发将近6000万枚PAID代币,按照当时的价格约为1.6亿美元,黑客从中获利2000ETH。[2021/3/6 18:21:08]
BiKi平台入驻慢雾区 发布“安全漏洞与威胁情报赏金计划”:为了进一步保障用户资产安全,提高平台安全风控等级,BiKi平台入驻慢雾区,发布“安全漏洞与威胁情报赏金计划”,严重漏洞最高奖励$10,000等值BIKI。
BiKi是一家数字资产交易服务和区块链技术提供商,旗下包括币币、合约、网格、杠杆、余币宝、抵押借贷、ETF、流动性挖矿等业务。致力于为用户提供安全、稳定、高效的服务。
慢雾科技是一家专注区块链生态安全的国家高新技术企业,提供“威胁发现到威胁防御一体化因地制宜的安全解决方案”,包括:安全审计、威胁情报(BTI)、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反(AML)、假充值漏洞扫描等SAAS型安全产品。[2021/1/18 16:26:21]
动态 | 慢雾预警:交易所需注意识别网络上的安全漏洞欺诈行为:据IMEOS 6月17日消息,近期多位客户均反馈收到匿名的漏洞提醒邮件或Telegram消息,消息中会说你的交易平台存在一些漏洞(比如 Web 服务整型溢出/Integer-overflow),将导致平台无法打开。然后“匿名黑客”会教唆你支付 BTC 来获得具体漏洞详情,但其在收到 BTC 后会提供很初级的漏洞报告或直接消失。慢雾安全团队提醒交易所注意识别,避免上当受,支付费用,只会助涨气焰。不完全统计“匿名黑客”截止当前至少已经入账 43 枚 BTC。[2019/6/17]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。