据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Polygon链上LibertiVault合约遭遇攻击,损失约123ETH和56,234USDT价值约29万美元,以及以太坊链上35ETH和96223USDT价值约16万美元,总共超45万美元。技术人员分析发现,本次攻击是由于LibertiVault合约存在重入漏洞所导致。
金色财经挖矿数据播报 | ETH今日全网算力上涨1.02%:金色财经报道,据蜘蛛矿池数据显示:
BTC全网算力128.170EH/s,挖矿难度16.85T,目前区块高度641403,理论收益0.00000887/T/天。
ETH全网算力202.341TH/s,挖矿难度2573.18T,目前区块高度10558040,理论收益0.00940121/100MH/天。
BSV全网算力1.864EH/s,挖矿难度0.29T,目前区块高度645849,理论收益0.00048286/T/天。
BCH全网算力2.614EH/s,挖矿难度0.37T,目前区块高度646105,理论收益0.00034431/T/天。[2020/7/30]
1、攻击者使用闪电贷借出500万USDT,调用LibertiVault合约deposit函数进行质押,其质押逻辑会将质押的代币一部分用于兑换,然后再计算铸币数量,铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。
金色晨讯 | 国家外汇局“跨境金融区块链服务平台应用”项目正式获批;韩国加密交易所Upbit大量加密货币转移至未知钱包:1.江西省省委书记:以区块链等数字技术为引领,推动传统产业智能化改造升级;
2.青岛建成国内首个应用区块链技术的5G电子证据平台,已存证19万余条;
3.BTC突破7600美元
4.中国工商银行原董事长:支付功能演进的最大不确定性在于数字货币的推出;
5.汇丰银行计划将200亿美元资产转移至区块链托管平台;
6.北京海淀企业登记用上区块链 住所审查实现“智慧审批”;
7.安全公司:Upbit交易所大额EOS 和XLM转入Bittrex交易所操作或是Bittrex协助规避风险
8.国家外汇局“跨境金融区块链服务平台应用”项目正式获得批复;
9.何超:建议国家尽早起草《中华人民共和国区块链产业促进法》。
1.Bakkt比特币期货日交易量再创新高;
2.BM:租赁系统主要供Dapp和服务商使用,用户可依赖钱包等服务商的资源方案;
3.黑客对Docker平台进行大规模扫描以挖掘加密货币;
4.BloXroute Labs将以太坊主网上的区块传播时间缩短一半;
5.法官保留SEC动议,以打击Telegram有关模糊性的辩护;
6.印度电子和通讯技术部部长:正在拟定国家级区块链框架文件;
7.动态 | 瑞士政府将进一步改善分布式账本技术与区块链技术状况;
8.加纳央行行长:加纳中央银行正在考虑发行数字货币;
9.韩国加密交易所Upbit大量加密货币转移至未知钱包。[2019/11/28]
2、而兑换操作swap会调用黑客的合约,此时黑客第一次重入调用deposit,并在此函数中二次重入,向合约打入250万USDT。
金色晨讯 | 火币发布辞退违纪人员的处理通报 台积电、BCH成为比特大陆上市最大受益方:1.BTC突破6600美元带动市场再次进入看涨模式
2.火币集团发布针对新领导到岗“掀起内斗”与实际情况不符并辞退违纪人员的处理通报
3.美国北达科他州向Bitconnect等三家ICO公司发出停止令
4.XRP在日本ATM机上可以进行现金转换
5.Coinbase支持用户依照美元按比例捆绑购买BTC等五种加密货币
6.蔡晓涛:比特大陆上市最大受益方是台积电、BCH和CET
7.SEC指控交易商违反证券法 仅允许使用比特币购买掉期
8.IBM食品信任副总裁:将区块链应用于农业仍存在困难
9.哥伦比亚加密监管草案因将加密货币置于信息技术和通信部的管辖范围而遭到科技界批评[2018/9/28]
3、二次重入结束后,合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币,第一次重入的deposit函数运行结束后,黑客又向其中打入了250万USDT。
4、此时,执行完了外层deposit函数中的兑换操作,合约又会按照250万USDT与合约USDT余额比值进行铸币。
5、问题就出在第四点,按理来说,第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数,但这里是使用的重入的形式,合约余额在最开始就已经获取了,所以参数并未改变,还是使用的原来的余额进行计算,导致给黑客铸了大量的凭证代币。
6、最后黑客移除凭证代币,归还闪电贷获利。
Beosin
企业专栏
阅读更多
金色财经
金色荐读
Block unicorn
金色财经 善欧巴
区块链骑士
Foresight News
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。