安全团队:EGD_Finance被黑导致池子中的EGD代币被非预期取出

2022-08-08 12:25:26

8月8日消息,据慢雾区消息,BSC上的 EGD_Finance 项目遭受黑客攻击,导致其池子中资金被非预期的取出。慢雾安全团队进行分析后以简讯的形式分享给大家 1. 由于 EGD_Finance 合约中获取奖励的 claimAllReward 函数在计算奖励时会调用 getEGDPrice 函数来进行计算 EGD 的价格, 而 getEGDPrice 函数在计算时仅通过 pair 里的 EGD 和 USDT 的余额进行相除来计算 EGD 的价格 2. 攻击者利用这个点先闪电贷借出池子里大量的 USDT, 使得 EGD 代币的价格通过计算后变的很小, 因此在调用 claimAllReward 函数获取奖励的时候会导致奖励被计算的更多, 从而导致池子中的 EGD 代币被非预期取出 本次事件是因为 EGD_Finance 的合约获取奖励时计算奖励的喂价机制过于简单, 导致代币价格被闪电贷操控从而获利。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
16:02
慢雾:NimbusPlatform被黑主要在于计算奖励时仅取决于池子中的代币数量导致被闪电贷操控
据慢雾安全团队情报,2022 年 12 月 14 日, BSC 链上的 NimbusPlatform 项目遭到攻击,攻击者获利约 278 枚 BNB。慢雾安全团队以简讯的形式分享如下: 1. 攻击者首先在 8 天前执行了一笔交易(0x7d2d8d),把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备; 2. 在 8 天后正式发起攻击交易(0x42f56d3),首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出; 3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取,奖励的计算是和 rate 的值正相关的,而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格,由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多; 4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利; 此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。
20:09
安全团队:Acala项目方对aUSD池子的奖励倍率进行了修改导致池子的奖励被放大
8月14日消息,波卡生态项目Acala因链上设置错误,导致aUSD增发。以下是慢雾安全团队分析: 1. 项目方在2022-08-13 22:23:12 (+UTC)调用了 update_dex_saving_rewards 对 aUSD 池子的奖励倍率进行了修改,修改为500000000000000000。 2. 在区块的 hook 函数 on_initialize 中会去调用 accumulate_dex_saving 函数,在函数中池子的奖励总量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base,由于 dex_saving_reward_rate 在上一步中已经被放大了导致池子的奖励也被放大。 3. 最后用户领取到了错误的奖励。
16:43
安全团队:UvToken矿池合约因未检查用户传参合法性导致被黑
金色财经报道,根据安全团队慢雾区情报,UvTokenWallet Eco Staking 矿池合约被黑,漏洞关键原因在于,矿池合约取款函数未严格判断用户输入,导致攻击者可以直接传入恶意合约地址并利用恶意合约掏空相关资金。慢雾 MistTrack 对资金进行了追踪溯源分析:截止目前黑客已将获利资金共计 5,011 BNB 转移到 Tornado Cash。此外,攻击的手续费来源同样为 Tornado Cash。
10:33
安全团队:Go Coin项目疑似发生Rug Pull导致Go代币下跌92%
金色财经消息,据CertiK预警监测,BSC链上Go Coin项目疑似发生Rug Pull,Go代币下跌92%,合约部署者将费用设置为最高,并将禁止出售的地址列入黑名单。
15:01
安全团队:BSC链上RSHIB项目发生Rug Pull导致代币价格暴跌92%
8月25日消息,安全团队CertiK预警监测显示,BSC链上RSHIB项目发生Rug Pull,RSHIB代币价格暴跌92%。合约部署者移除流动性并向外部账户(EOA)地址发送约47枚BNB。该项目的推特帐户也已被删除。
19:33
Euler Finance的捐赠和清算中存在逻辑缺陷导致被攻击
金色财经报道,据PeckShield分析,Euler Finance 由于其捐赠和清算的逻辑缺陷,其在以太坊上的一系列交易中被利用(黑客交易地址),导致项目损失约1.97 亿美元。具体而言,donateToReserves 需要确保捐赠者仍然有超额抵押,清算需要确保从借款到抵押资产的“正确”转换率。此外,共有两名黑客参与了攻击:0x5F2…8B8c 和 0xBcA…7c5C。
Copyright © 2018-2022 211COIN版权所有.