[安全团队:Flurry Finance攻击事件利用了RhoToken代币的rebase机制]4月25日消息,Cobo区块链安全团队就Flurry Finance攻击事件进行了分析,发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同,而是利用了Flurry Finance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据(Bank中的token数量)。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵,进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用Rabbit Finance的StrategyLiquidate合约来执行任意代码的技巧,但这个技巧涉及到的合约代码本身其实并不存在安全问题。Cobo区块链安全团队提醒,开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。
此前消息,2月22日,BSC链上的Flurry Finance遭到闪电贷攻击,导致协议中Vault合约中价值数十万美元的资产被盗。
其它快讯:
安全团队:Premint NFT被黑客入侵事件总损失约为37.5万美元:金色财经消息,据CertiK安全团队,Premint NFT被黑客入侵事件到目前为止,总共发现了6个被利用的钱包。目前黑客从攻击中获得的利润约为37.5万美元,使其成为今年最大的NFT黑客攻击之一。
此前昨日下午报道,黑客在premint网站中通过植入恶意的JS文件实施钓鱼攻击。premint官方提醒用户不要签署任何设置批准所有的交易。[2022/7/18 2:19:32]
安全团队:发现有关 Fantom 网络上 Go-Opera 中的错误报告:金色财经消息,据 CertiK 预警显示,发现有关 Fantom 网络上 Go-Opera 中的错误的报告,该错误允许攻击者耗尽验证节点钱包。推特用户 @0xNevermind 声称他们的 Fantom 验证节点钱包已被耗尽 25 万枚 FTM(约 7.5 万美元),团队将该问题报告给了 Fantom 基金会,并提供了有关如何重现和修复错误的步骤,在 7 天后 Fantom 团队没有采取任何行动或更新,因此决定公开此信息以保护其他 Fantom 节点所有者。[2022/7/3 1:47:00]
安全团队:9天内已有11个BAYC系列NFT被盗,总价值约166万美元:4月6日消息,派盾(PeckShield)统计显示,9天内已有11个BAYC系列NFT被盗,总价值约166万美元,包括此前周杰伦遭受钓鱼攻击的BAYC # 3738 NFT。[2022/4/6 14:08:07]
郑重声明: 安全团队:Flurry Finance攻击事件利用了RhoToken代币的rebase机制版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。