Beosin:DeFi借贷协议Sentiment被攻击事件分析

2023-04-05 12:47:48

金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年4月5日, DeFi借贷协议sentiment协议遭到攻击,损失约1百万美元,Beosin Trace追踪发现已有0.5WBTC、30个WETH、538,399USDC和360,000USDT被盗,目前,大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。 攻击交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d Beosin安全团队现将分析结果分享如下: 1.攻击者首先调用Balancer Vault的“joinPool”函数进行质押。 2.然后再调用“exitPool”取回质押,在这个过程中,Balancer Vault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中,攻击者调用0x62c5合约的borrow函数,该过程需要根据Balancer Vault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的"exitPool"过程中,pool中总供应量已经减少而数据还没有更新,攻击者利用这个数据错误从而多借出资产达成获利。 攻击者收到消息,如果在4月6日8点(UTC)前归还资产,会获得95000美元奖励,并不会被追究。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
10:51
Sentiment将于明年推出杠杆借贷协议Sentiment V2
10月20日消息,DeFi 借贷协议 Sentiment 将于 2024 年春季推出杠杆借贷协议 Sentiment V2,专门用于链上复杂的投资组合头寸,例如另一个 DeFi 协议的 LP 代币。Sentiment V2 核心功能包括适应性风险管理(池子可由第三方管理),可以快速轻松地创建具有不同抵押品类型的新池,以及隔离池等。
12:03
Beosin:Themis Protocol被攻击事件分析
据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年6月28日DeFi借贷协议Themis Protocol遭到攻击,攻击者获利约37万美元,Beosin Trace追踪发现已有130,471个USDC、58,824个USDT和94个ETH被盗,目前,被盗资金被转移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻击的原因在于预言机实现存在问题,导致预言机被操纵。 攻击交易为:0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻击的核心是攻击者在借款前,用大量WETH兑换wstETH,使得预言机获取价格时被操纵,导致攻击者仅用55WETH借出317WETH。 如图,在getAssetPrice函数调用Balancer: Vault.getPoolTokens函数时,wstETH与ETH数量从正常的2,423 : 2,796被操纵为0.238 : 42,520.从而操纵了预言机。
18:53
Gala Games协议遭到攻击安全事件分析
金色财经报道,据Beosin Alert监控预警发现,以太坊链上的Gala Games协议遭到黑客攻击,攻击者通过mint直接铸造了50亿枚GALA代币,并且分批次将其兑换为ETH。目前为止,攻击者已将近6亿枚GALA代币兑换为5913枚ETH,攻击者地址目前保存了5913枚ETH以及44亿枚GALA代币。
22:12
DeFi借贷协议Sentiment:鉴于Vyper最近披露漏洞,暂停协议运行
7月31日消息,DeFi借贷协议Sentiment发推称,鉴于Curve和Vyper团队最近披露的漏洞,作为预防风险措施暂停了协议运行。 据此前报道,Sentiment于四月遭受黑客攻击,后黑客归还了88万美元,保留9.6万美元。
13:49
Optimism上借贷协议Kokomo Finance (KOKO)发生Rug pull事件分析
3月27日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Optimism上的Kokomo Finance (KOKO)发生了rug pull,Kokomo Finance (KOKO)的部署者首先部署了一个合约cBTC(0x1e02e6a5b549eead726ebcce64a54215196760e2),然后调用_setRewardSpeed (修改奖励)并暂停借贷。接着,攻击者将cBTC的合约实现改为恶意合约(0x05b2957591a4d1334b230f8c56fd62ddee17b52e),调用cBTC合约的0x804edaad方法将7010个soWBTC从转给0x5c8db6eea11896065ec7dcfc67f458c54ccf7bff。最终攻击者将7010个soWBTC换成了141个WBTC。最终,攻击者将7010个soWBTC换成了141WBTC。 Beosin KYT反洗钱分析平台发现目前资金已通过跨链转移分别转移到了以下几个地址:20.01个BTC到0x88340ff2292506D0D93934CbBFEA5ED1804CDa0d(Arbitrum)、31.74个BTC到0xC2AE8D3b0fb159cCD331a01A8C3632B95dB23CF5(BSC)、50个BTC到0x8c0ecd7bacced114729f8269b459e0a4d5e95c3b(BSC)以及39.99个BTC到0xB74C5e41E748BaBC32ce33813549E2503CDaB762(BSC)。
09:30
安全团队:借贷协议Sentiment在Arbitrum网络被盗100万美元
4月5日消息,据派盾监测,无许可部分抵押借贷协议 Sentiment 今日凌晨在 Arbitrum 网络被盗约 100 万美元,根本原因在于 Balancer 的只读可重入性。
Copyright © 2018-2022 211COIN版权所有.