Precio de Bitcoin Precio de Bitcoin
Ctrl+D Precio de Bitcoin
ads
Casa > ICP > Info

Ataque en cadena de lagunas lógicas, los atacantes apuntan a Eleven Finance

Author:

Time:

El 23 de junio, hora de Beijing, la advertencia "Paid Shield" de PeckShield mostró que el grupo inteligente relacionado con Nerve en Eleven Finance, un agregador de ingresos en la cadena BSC, fue atacado por préstamos rápidos.

A través del seguimiento y el análisis, PeckShield descubrió que el ataque se originó a partir del error de balance de cálculo Emergencyburn() de Eleven Finance, y el mecanismo de destrucción no se implementó, y el atacante obtuvo una ganancia de casi 4,6 millones de dólares estadounidenses.  

Curiosamente, unas horas más tarde, el atacante que acaba de obtener casi $ 500,000 de Impossible Finance ayer aprovechó una vulnerabilidad en Eleven Finance para obtener una ganancia de casi $ 520,000 a través de un ataque de préstamo rápido.

El primer atacante crea 4 contratos y realiza 5 ataques.

PeckShield toma el contrato 0x8b29 como ejemplo para describir brevemente el proceso de ataque:

Los usuarios de la billetera Ouyi Web3 no sufrieron pérdidas por la fuga de la clave privada de Solana: según las noticias oficiales chinas de Ouyi en Twitter, en este incidente de Solana Hack, los usuarios de la billetera Ouyi Web3 no sufrieron pérdidas porque la billetera no incluía el código Slope. Al mismo tiempo, las operaciones relacionadas con la clave privada y la mnemotécnica de la billetera Ouyi Web3 están aisladas de los servicios de terceros, y no hay riesgo de ataque a la cadena de suministro; y la clave privada o mnemotécnica se cifra y almacena localmente, solo el usuario puede descifrarlo, sin acceso a Internet, y no hay riesgo de fuga. [2022/8/5 12:03:48]

Primero, el atacante tomó prestados 953 869,6 BUSD de PancakeSwap e intercambió 340 631,2 BUSD por 474 387,75 NRV;

Posteriormente, el atacante añadió 474.378,75 Nerve y 366.962 BUSD a PancakeSwap para obtener 411.515,3 tokens LP;

El atacante puso 411.515,3 tokens de LP en el grupo de armas inteligentes relacionado con Nerve en Eleven Finance para obtener 411.515,3 tokens de 11 nrvbusd LP;

Cuando el atacante extrae el token Pancake LP, la función Emergencyburn() en ElevenNeverSellVault debería haber destruido el token 11 nrvbusd LP a cambio del token Pancake LP, pero Emergencyburn() no ejecutó la acción de quemar (destruir), lo que permitió al atacante aproveche este beneficio de error de lógica.

El atacante creó el contrato 0x01ea para prestar 30,9 BTCB; el contrato 0xc0ef prestó 285,66 ETH; y 0x87E9 prestó dos préstamos flash de 2.411.889,87 BUSD y 7.693 BUSD para atacar.

Los atacantes utilizan las funciones integradas de contratos de terceros para atacar. Dichos problemas son difíciles de detectar. Por ejemplo, en el caso anterior en el que PeckShield ayudó a Rari Capital a evitar mayores pérdidas, al ubicar la causa raíz de la vulnerabilidad, la interacción del contrato es fácil de interferir. Según el criterio del personal de seguridad, PeckShield recomienda que los desarrolladores sean cautelosos al interactuar con protocolos de terceros.

Los desarrolladores de protocolos DeFi deben comprender completamente el funcionamiento de los contratos y sus proyectos de bifurcación antes de integrar protocolos de terceros e implementarlos en operaciones de producción. Los desarrolladores del protocolo DeFi deben implementar el proyecto en la red de prueba para realizar pruebas y verificar anomalías en los registros de transacciones de manera oportuna antes de que el proyecto entre en funcionamiento.

"Es demasiado rápido. Desde el despliegue del contrato hasta la finalización del ataque e incluso el lanzamiento del ataque nuevamente, esta serie de operaciones a veces es demasiado rápida para que la gente reaccione", dijo el personal de seguridad de PeckShield "Paidun", " Por lo tanto, auditar de antemano, responder durante el evento y proponer un plan de seguridad oportuno y eficaz después del evento son indispensables, y nadie sabe si el atacante lanzará un ataque en el próximo segundo".

Tags:

ICP
Yahoo Finance entrevistó a SBF sobre cómo ver el desarrollo futuro de Bitcoin: los fondos institucionales aún fluyen lentamente hacia el mercado.

Recientemente, Yahoo Finance (Yahoo Finance) entrevistó a Sam Bankman-Fried, el fundador de 29 años de la plataforma de negociación de cifrado FTX.

Informe semanal de Glassnode: Los ingresos por tarifas de transacción de los mineros de Ethereum alcanzaron un nuevo mínimo en un año

Según un nuevo informe de Glassnode, el mercado de Bitcoin continúa mostrando una debilidad relativa tanto en términos de precio como de actividad en la cadena. Los ingresos por tarifas de transacción de los mineros d.

Encuentra nuevo | SOMESING: Servicio de música social que integra tecnología blockchain

"Find New" es un proyecto de observación de proyectos de blockchain lanzado por Jinse Finance. Cubre el desarrollo de proyectos en varios campos de la industria.

Ataque en cadena de lagunas lógicas, los atacantes apuntan a Eleven Finance

El 23 de junio, hora de Beijing, la advertencia "Paid Shield" de PeckShield mostró que el grupo inteligente relacionado con Nerve en Eleven Finance, un agregador de ingresos en la cadena BSC.

Craig Wright gana juicio predeterminado Bitcoin.org debe eliminar el libro blanco de Bitcoin

El defensor de BSV, Craig Wright, que se hace llamar Satoshi Nakamoto.

Mecanismo de precios de Shushu NFT: alrededor del 20 % de los NFT cambian de manos con frecuencia en un mes y la tasa de rotación promedio supera el 23 %

La locura por los NFT continúa. Desde principios de este año, en primer lugar, el arte del cifrado ha llevado a NFT a su primer clímax de desarrollo, y luego el concepto de "metaverso" ha agregado fuego a NFT. Ahora.

Golden Morning Post | La actividad de direcciones de Ethereum supera a Bitcoin por primera vez

Título ▌Datos: la actividad de direcciones de Ethereum supera a Bitcoin por primera vezHoy, por primera vez, la actividad de direcciones de Ethereum superó la actividad de direcciones de Bitcoin.

ads