针对今早BonqDAO项目遭黑客攻击事件,慢雾安全团队分析:
1.BonqDAO平台采用的预言机来源是TellorFlex自喂价与Chainlink价格的比值,TellorFlex价格更新的一个主要限制是需要价格报告者先抵押10个TRB才可以进行价格提交更新。而在TellorFlex中可以通过updateStakeAmount函数根据抵押物的价格进行周期性的更新价格报告者所需抵押的TRB数量。
Bluesky已允许用户对自己的帖子添加自我标签:金色财经报道,“去中心化Twitter”项目Bluesky已开始允许用户对自己的帖子添加自定义标签,这样他们就可以自动过滤。从NSFW类别开始,用户可以通过该类别给帖子贴上内容警告类别。
Bluesky表示,用户可以点击编辑器窗口中的屏蔽图标来选择标签,随着时间的推移,自定义标签将扩大标签类别。此外,Bluesky为个人资料添加专用媒体选项卡,使访问者可以查看用户发布的图像和视频。[2023/8/16 21:27:09]
2.由于TellorFlex预言机合约的TRB抵押数额一开始就被设置成10个,且之后没有通过updateStakeAmount函数进行更新,导致攻击者只需要抵押10个TRB后就能成为价格报告者并通过调用submitValue函数修改预言机中WALBT代币的价格
美国特勤局“头号通缉犯”名单包括多名加密欺诈者:金色财经报道,美国特勤局的“头号通缉犯”名单包括多名加密欺诈者。包括哥斯达黎加36岁公民Allan Garcia和俄罗斯的Danil Potekhin等。[2021/6/25 0:04:40]
3.攻击者对价格进行修改后调用了Bonq合约的createTrove函数为攻击合约创建了trove,该trove合约的功能主要是记录用户抵押物状态、负债状态、从市场上借款、清算等
动态 | 多名投资者称在青蛙云算力平台提现地址遭篡改,资产被盗:据媒体报道,2月19日,多名投资者爆料称,其在青蛙云算力平台提现ZEC,发现提现地址被篡改,以至于本属于自己的数字资产丢失。目前已知遭遇此类情况的已有6人,资产损失超过200ZEC。受害者向客服反应情况,青蛙云算力平台客服表示,正在排查。
据悉,青蛙云算力平台隶属于人人矿场,目前主要支持购买云算力挖ZEC。
对此,金色财经第一时间向人人矿场求证,人人矿场表示,首先是人人矿场没有受到任何影响,然后人人矿场和跟青蛙完全是两个不同的平台。[2020/2/19]
4.紧跟着攻击者在协议里进行抵押操作,接着调用borrow函数进行借款,由于WALBT代币的价格被修改而拉高,导致协议给攻击者铸造了大量BEUR代币
5.在另一笔攻击交易中,攻击者利用上述方法修改了WALBT的价格,然后清算了市场上其他存在负债的用户以此获得大量的WALBT代币。
6.根据慢雾MistTrack分析,1.13亿WALBT已在Polygon链burn并从ETH链提款ALBT,后部分ALBT通过0x兑换为ETH;部分BEUR已被攻击者通过Uniswap兑换为USDC后通过Multichain跨链到ETH链并兑换为DAI。
慢雾安全团队分析认为,此次攻击的根本原因在于攻击者利用预言机报价所需抵押物的成本远低于攻击获得利润从而通过恶意提交错误的价格操控市场并清算其他用户。截止目前,94.6万ALBT已被兑换为695ETH,55.8万BEUR已被兑换为53.4万DAI。黑客仍在持续兑换ALBT为ETH,暂未发现资金转移到交易所等平台,MistTrack将持续监控黑客异动并跟进拉黑。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。