巴比特讯,8月4日,Peckshield发推表示,跨链收益率提升平台PopsicleFinance下SorbettoFragola产品遭到攻击,导致了约2070万美元的损失,包括2.6KWETH,5.4MUSDC,5MUSDT,160KDAI,10KUNI,和96WBTC。据悉,此次攻击是由于LP代币转移时缺乏适当的费用核算导致的。
安全团队:建议用户取消不同链上Sushiswap RouteProcessor2合约的授权:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年4月9日,
Sushiswap项目遭到攻击,部分授权用户资产已被转移。
根本原因是由于合约的值lastCalledPool重置在校验之前,导致合约中针对pool的检查失效,从而允许攻击者swap时指定恶意pool转出授权用户资金,以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例:
1.攻击者在约30天前创建了恶意pool合约
2.调用SushiSwap的路由函数processRoute进行swap,指定了创建的恶意合约为pool合约
3.最后在swap后恶意合约调用uniswapV3SwapCallback,指定tokenIn为WETH,from地址为受害者用户地址(sifuvision.eth),从而利用受害用户对路由合约的授权转移走资金。
建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。[2023/4/9 13:53:15]
具体来说,攻击者创建了三个合约A、B和C,并以A.deposit()、A.transfer(B)、B.collectFees()、B.transfer(C)、C.collectFees()的顺序重复了八个池。在该漏洞中,黑客首先从Aave上闪贷了30MUSDT,13KWETH,1.4KBTC,30MUSDC,3MDAI和200KUNI,随后并攻击了八个PLP池。目前,攻击的部分利润被立即存入TornadoCash,而剩余的2560WETH,96WBTC和159,928DAI仍在攻击者的账户中,即0xf9E3D08196F76f5078882d98941b71C0884BEa52。
Bitcoin Advisory创始人:不少山寨币交易员将BTC当作储备货币:比特币咨询公司Bitcoin Advisory创始人Pierre Rochard发推称,不少山寨币交易员认为BTC是他们的储备货币。有些人甚至将BTC作为计算盈亏(PnL)的单位。[2020/8/2]
MXC抹茶与Sora Ventures达成战略合作:4月9日,MXC抹茶宣布与Sora Ventures达成战略合作,将根据Sora Terminal上真实交易信息选择项目,并为该项目上线MXC抹茶提供扶持政策。今年3月,Sora Ventures与美国持牌信托机构Paxos Trust达成合作,推出Sora OTC Marketplace。Paxos Trust将提供美元的充值和提现、KYC 流程和合规项目等服务。基于真实KYC信息,Sora Terminal将获知项目真实交易情况。Sora Ventures成立于2018年1月,是亚洲数字资产基金,管理千万美元资产,业务涵盖投资、孵化、社区及顾问等方面,已成功投资了Mithril、Origin Protocol、Urbit、Immutable、Tari等多个项目。[2020/4/9]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。