比特币
Ctrl+D收藏简单区块链

逻辑漏洞连坏击 攻击者看上了 Eleven Finance 这方面羊毛绒地_用户

作者:

时间:2021/6/23 14:31:46

逻辑漏洞连坏击 攻击者看上了 Eleven Finance 这方面羊毛绒地

中国北京时间 6 月 23 日,PeckShield「派盾」预警信息表明,BSC 链上盈利汇聚器 Eleven Finance 中与 Nerve 有关的重机池遭受闪电贷攻击。

PeckShield 「派盾」根据跟踪和剖析发觉,本次攻击来源于 Eleven Finance 的 Emergencyburn() 测算账户余额不正确,且未实行消毁体制,攻击者盈利近 460 万美金。

有意思的是,好多个小时后,昨日刚从 Impossible Finance 薅得近 50 万美金的攻击者,利用 Eleven Finance 的系统漏洞,根据闪电贷攻击盈利近 52 万美金。

第一个攻击者建立了 4 个合约,开展了 5 次攻击。

PeckShield 以合约 0x8b29 为例子概述攻击全过程:

最先,攻击者从 PancakeSwap 中借出 953,869.6 BUSD,并将在其中 340,631.2 BUSD 换取 474,387.75 NRV;

接着,攻击者将 474,378.75 Nerve 和 366,962 BUSD 在 PancakeSwap 中加上流通性,得到 411,515.3 LP token;

攻击者将 411,515.3 LP token 放进 Eleven Finance 中与Nerve 有关的重机池得到 411,515.3 11 nrvbusd LP token;

当攻击者获取 Pancake LP token 时,ElevenNeverSellVault 中的 Emergencyburn() 涵数本应消毁 11 nrvbusd LP token 换成 Pancake LP token,但 Emergencyburn() 仍未实行 burn (消毁)这一姿势,促使攻击者利用此逻辑错误盈利。

该攻击者又建立了 0x01ea 合约,借出 30.9 BTCB;c0c0ef 合约借出 285.66 ETH 及其 c087E9 借出么加一笔闪电贷 2,411,889.87 BUSD 和 7,693 BUSD 开展攻击。

攻击者根据利用集成化的第三方合约作用开展攻击,这类难题较难检验到,比如,先前PeckShield「派盾」协助 Rari Capital 防止更高损害实例一样,在精准定位系统漏洞根本原因时,因为合约互动非常容易影响安全性工作人员的分辨,PeckShield「派盾」提议,开发者应慎重与随意第三方协议开展互动。

DeFi 协议书开发者在集成化第三方协议并将其布署到生产制造运作以前,应充足掌握合约以及支系新项目的运作状况。DeFi 协议书开发者应在新项目发布前,先将其布署在检测在网上开展检测并立即查验交易明细中的异常现象。

“太快,攻击者从合约布署,到进行攻击,乃至到再度进行攻击,这一系列实际操作有时快得令人有一些反映不回来。”PeckShield「派盾」安全性工作人员表明,“因而,事先财务审计,事中回应,过后明确提出立即合理的安全应急预案全是缺一不可的,谁都不清楚攻击者是否会在下一秒进行攻击。”

PeckShield 「派盾」根据跟踪和剖析发觉,本次攻击来源于 Eleven Finance 的 Emergencyburn() 测算账户余额不正确,且未实行消毁体制,攻击者盈利近 460 万美 声音 | 陈伟星:区块链最大的作用是改变印钞逻辑和信贷逻辑:泛城资本陈伟星今日发微博表示,区块链最大的作用是改变印钞逻辑和信贷逻辑,最大的障碍是人们对货币的意识形态,认为过度印货币就是政府的权力。但这种意识形态的认知是不科学的,因为政府权力的实质,是抽取高生产力的人的一部分财富,去协调低生产力的人的发展和保障。而印钞和信贷做的不好,是遏制生产力的,意味着政府权力的减少,反之如果有好的印钞和信贷方法,则能加速生产力的发展,意味着政府能力的提高。这个道理,通常也只会在现代法币体系和银行体系失败,大家才会真正理解。[2019/11/22]

声音 | BM:区块链将取代绝大多数传统数据库和商业逻辑:据 IMEOS 报道,BM 在推特上转发了 Coinbase 前 CTO Balaji S. Srinivasan 在 Coindesk 上发表的文章《是的,你可能需要区块链》,文中主要介绍区块链对存储有价值数据和安全导入及导出数据的重要性,以及传统数据导入/导出存在的问题和目前的解决方法。 BM 在推文中写到,我相信区块链最终将取代绝大多数传统数据库和商业逻辑,而 EOSIO 将引领潮流。[2019/5/15]

声音 | 区块链服务实体经济有七大基本逻辑:在“世界区块链大会·乌镇”上,工信部工业经济研究所所长于佳宁表示,区块链服务实体经济的基本逻辑有以下几点:1.产业协作环节信息化;2.电子信息可信化;3.数据资源资产化;4.信任传递”的数据资源共享机制;5.平台机构自证清白;6.政府实现穿透式监管;7.多主体平等协作联盟组织。[2018/6/30]

标签:

区块链热门资讯
煤业强管控后:买卖要求降至34个月至今最低值_用户

煤业强管控后:买卖要求降至34个月至今最低值 依据牛津大学新起经济研究管理中心(Alternative Finance)测算的电力工程消费指数,截止6月21日,比特币挖币的全年度预计耗能值约为91.04 TW/h,已高过德国和丹麦全国各地的预计耗能经营规模,与白俄罗斯全国各地的预计耗能经营规模非常。

2021/6/23 14:32:09
Kusama首槽尘埃落定 一文数读第一轮拍卖的诸多关键点_用户

Kusama首槽尘埃落定 一文数读第一轮拍卖的诸多关键点 最后,在6月22日的16点34分,Kusama第一个平行面链扩展槽由Acala先行网Karura拍得,这也变成波卡平行面链拍卖大事儿中的关键节点。

2021/6/23 14:31:33
国外投资组织讲解DeFi领域 DeFi Summer又将来临?_用户

国外投资组织讲解DeFi领域 DeFi Summer又将来临? 区块链技术金融(DeFi)已经彻底改变金融的将来。适用金融应用程序的底层基础设施建设已经产生重特大变化,它已经更改大家对批准和操纵、清晰度和风险性的观点。 DeFi是区块链应用、数字货币和金融服务项目交叉式的一个发展趋势中的销售市场单位。

2021/6/23 14:31:20
科普:区块链能让盗版难题获得除根吗?_用户

科普:区块链能让盗版难题获得除根吗? 从十八世纪初第一部出版法问世到现在,早已数百年过去,但伴随着时期一起发展的,不但是出版法,也有层出不穷的盗版。 盗版对内容创作者的权益危害被不断谈及,但怪异的是,盗版做为一个广为人知的“政冶不正确”,却宛然变成了大家日常日常生活的一部分。

2021/6/23 13:58:55
OKX