Equipo de seguridad: los atacantes financieros de DFX ganan más de 230 000 $

[Equipo de seguridad: los atacantes de DFX Finance obtuvieron más de $ 230,000 en ganancias] El 11 de noviembre, según la inteligencia del equipo de seguridad de SlowMist, el proyecto DFX Finance en la cadena ETH fue atacado y los atacantes obtuvieron una ganancia de aproximadamente $ 231,138. El equipo de seguridad de SlowMist compartió lo siguiente en forma de boletín informativo:

1. El atacante primero llama a la función viewDeposit en el contrato llamado Curve para verificar el estado del depósito en el contrato y luego construye un préstamo flash adecuado basado en el estado del depósito devuelto.

2. Luego proceda al préstamo flash con la función flash del contrato de Curve, debido a que esta función no está protegida por el bloqueo de reingreso, el atacante usa la función flashCallback en el préstamo flash para devolver la función de depósito del contrato para depositar.

3. La función de depósito llama externamente a la función de Depósito proporcional del contrato de Liquidez Proporcional. En esta función, los fondos tomados en préstamo en el segundo paso se transferirán nuevamente al contrato de Curve, y el depósito se registrará para el contrato de ataque y el certificado de depósito. se acuñará para el contrato de ataque. .

4. Debido al uso de la función de depósito de reentrada para transferir fondos de vuelta al contrato de Curve, la verificación de saldo del reembolso del préstamo flash se pasó con éxito.

5. Finalmente, llame a la función de retiro para retirar.Al retirar, el certificado de depósito se quemará de acuerdo con la cuenta del contrato de ataque en el tercer paso del depósito, y alrededor de 2,283,092,402 tokens XIDR y 99,866 tokens USDC se retirarán con éxito para hacer una ganancia.

La razón principal de este ataque es que la función de préstamo flash de contrato de Curve no tiene protección de reingreso, lo que lleva al ataque a volver a ingresar a la función de depósito para transferir tokens para juzgar el saldo del reembolso del préstamo flash. registrado, el atacante puede obtener una ganancia en un retiro exitoso.

Otras noticias:

Equipo de seguridad: EGD_Finance fue atacado por piratas informáticos y los precios de los tokens fueron manipulados por préstamos instantáneos: el 8 de agosto, según las noticias de Slow Mist, el proyecto EGD_Finance en BSC fue atacado por piratas informáticos, lo que resultó en un retiro inesperado de fondos de su grupo. El análisis realizado por el equipo de seguridad de SlowMist es el siguiente:

1. La función ClaimAllReward en el contrato EGD_Finance llamará a la función getEGD Price para calcular el precio de EGD al calcular la recompensa, y la función getEGD Price solo calcula el precio de EGD dividiendo el saldo de EGD y USDT en el par

2. El atacante usa este punto para prestar primero una gran cantidad de USDT en el grupo, por lo que el precio de los tokens EGD se vuelve muy pequeño después del cálculo. Por lo tanto, cuando se llama a la función ClaimAllReward para obtener recompensas, se calcularán más recompensas. Como resultado, los tokens EGD del grupo se retiraron inesperadamente

El motivo de este incidente es que el mecanismo de alimentación de precios para calcular las recompensas cuando el contrato EGD_Finance obtiene las recompensas es demasiado simple, lo que hace que el préstamo flash manipule el precio del token para obtener una ganancia. [2022/8/8 12:09:04]

Equipo de seguridad: El servidor Discord del proyecto NFT Dope Ape Club fue atacado, no haga clic en el enlace de phishing: El 9 de julio, según el monitoreo de CertiK, el servidor Discord del proyecto NFT Dope Ape Club fue atacado. El chat se bloqueó y los atacantes publicaron un enlace de phishing. Usuarios de la comunidad, por favor no hagan clic en enlaces, acumulen o aprueben ninguna transacción. [2022/7/9 2:02:21]

Equipo de seguridad: El proyecto DHE ha sido confirmado como un proyecto de ejecución Rug Pull: Jinse Finance News, según el seguimiento del equipo de seguridad de CertiK, el proyecto DHE ha sido confirmado como un proyecto de ejecución Rug Pull.

A las 6:27:17 am del 21 de junio de 2022, hora de Beijing, el precio de los tokens DHE cayó más del 91 %. El monto total de los daños ahora es de aproximadamente $ 142,000. [2022/6/21 4:41:46]