慢雾:Spartan Protocol被黑简析

[慢雾:Spartan Protocol被黑简析]据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;

2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。

慢雾:仍有大部分钱包支持eth_sign,仅少部分钱包提供安全风险警告:金色财经报道,在加密货币NFT板块,越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈,提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的,不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign,其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign,他们可以选择支持该功能的加密钱包。但是,用户在使用这些钱包时需要特别注意安全警告,以确保其交易的安全性。[2023/5/11 14:57:14]

慢雾:Solana公链上发生大规模盗币,建议用户先将热钱包代币转移到硬件钱包或知名交易所:8月3日消息,据慢雾区情报,Solana公链上发生大规模盗币事件,大量用户在不知情的情况下被转移SOL和SPL代币,慢雾安全团队对此事件进行跟踪分析:

已知攻击者地址:

Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy

目前攻击仍在进行,从交易特征上看,攻击者在没有使用攻击合约的情况下,对账号进行签名转账,初步判断是私钥泄露。不少受害者反馈,他们使用过多种不同的钱包,以移动端钱包为主,我们推测可能问题出现在软件供应链上。在新证据被发现前,我们建议用户先将热钱包代币转移到硬件钱包或知名交易所等相对安全的位置,等待事件分析结果。[2022/8/3 2:55:22]

声音 | 慢雾:ETC 51%双花攻击所得的所有ETC已归还完毕:据慢雾区消息,ETC 51%攻击后续:继Gate.io宣称攻击者归还了价值10万美金的ETC后,另一家被成功攻击的交易所Yobit近日也宣称收到了攻击者归还的122735 枚 ETC。根据慢雾威胁情报系统的深度关联分析发现:攻击者于UTC时间2019年1月10日11点多完成了攻击所获的所有ETC的归还工作,至此,持续近一周的 ETC 51% 阴云已散。[2019/1/16]

郑重声明: 慢雾:Spartan Protocol被黑简析版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • Cypherium首席执行官:隐私与互操作性是CBDC面临的最大挑战

    [2021-4-30 21:12:22]在四月28-29号举行的首届国际货币与金融官方论坛数字货币研讨会上,Cypherium首席执行官郭杨睿发表了关于区块链与央行数字货币隐私保护的演讲。郭杨睿表示,隐私与互操作性是央行数字货币面临的最重要的挑战。公有区块...

  • 漫画家尼尔·亚当斯推出以蝙蝠侠为主题的NFT

    [2021-4-30 21:12:02]金色财经报道,著名漫画家尼尔·亚当斯(Neal Adams)宣布将在Portion.io市场拍卖九个独特的NFT,这些NFT代表了其有关蝙蝠侠、罗宾、神奇四侠和其他超级英雄的作品,包含1994年至2021年的五幅漫画...

  • Integral结束公共种子轮融资,已投资总额为3200 万美元

    [2021-4-30 21:12:54]据官方消息,流动性汇聚和DEX平台Integral宣布结束公共种子轮融资,目前已投资总额为3200万美元。在结算完成后,Integral将发布最终的销售统计数据。Integral表示,预计用户将能够在5月下旬至6月初...

  • 李笑来:马斯克小半年前就开始囤币了

    [2021-5-1 21:15:58]李笑来在微博发文表示,马斯克造车的时候,国内的企业家忙着做手机,说那是下一代终端;几年过去,国内一窝蜂造车,想尽一切办法黑特斯拉。马斯克小半年前就开始囤币了,再过几年,这些跟风的只能开始干啥呢? 声音 | 李...

  • TheForce.Trade第二轮Launchpad上线DeFi项目发布平台LaunchZone

    [2021-5-2 21:17:42]据官方消息,DeFi+NFT风险评估收益优化一站式聚合平台TheForce.Trade于北京时间5月1日23:30登陆DeFi项目发布平台LaunchZone,进行第二轮Launchpad。 据悉,本轮La...

  • 慢雾:Spartan Protocol被黑简析

    [2021-5-2 21:17:59]据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考: 1. 攻击者通过闪电贷先从 PancakeS...

  • COMP突破700美元关口 日内涨幅为4.1%

    [2021-4-30 21:14:49]欧易OKEx数据显示,COMP短线上涨,突破700美元关口,现报701.07美元,日内涨幅达到4.1%,行情波动较大,请做好风险控制。 Crypto.Com CEO澄清谣言:平台未实施提款限制,也未开展存款推...

  • DeFi基金Dispersion Holdings在伦敦阿奎斯证券交易所上市

    [2021-4-30 21:13:58]4月30日消息,由上市加密矿业公司Argo Blockchain联合创始人成立的DeFi基金Dispersion Holdings在伦敦阿奎斯证券交易所上市,代码为DEFI。Dispersion的董事包括Argo B...

  • ZBG已上线CHIA云算力

    [2021-4-30 21:12:36]据ZBG官方消息,为了满足众多用户对CHIA挖矿需求,ZBG已于4月29日23时00分上线CHIA云算力产品,并开启首期CHIA云算力抢购活动。抢购总量:5000T,算力单价80USDT/T;合约周期为:365天;5...

  • Nord Finance将集成Chainlink

    [2021-4-29 21:11:11]去中心化金融生态系统Nord Finance宣布,其产品生态系统将集成Chainlink。Chainlink确保安全及时地部署用户资金,同时使Nord能够快速扩展支持BSC和Polygon。 Messari推...

  • PrimeXBT和Covesting合作推出Covesting Yield Account模块

    [2021-5-1 21:15:22]据cryptonews消息,交易平台PrimeXBT已与欧洲B2B软件许可开发商Covesting合作推出了一个新的Covesting Yield Account模块,以及该公司的旗舰Covesting复制交易模块。...

金智博客

[0:15ms0-9:881ms