据TransitSwap官方通告,BSC链新增4个获利地址,ETH链新增1个获利地址,新增被盗资金357万美元,共计获利地址8个,被盗损失总计扩大至2884万美元。慢雾MistTrack与TransitSwap团队协作分析后得出结论,新增5个获利地址中有3个是套利机器人,而另外2个则是攻击模仿者。此前,慢雾通过情报发现套利机器人地址0xcfb0...7ac7。慢雾MistTrack仍在持续跟进此次事件,对新增获利地址的资金转移与黑客画像进行分析。
慢雾:NimbusPlatform遭遇闪电贷攻击,损失278枚BNB:据慢雾安全团队情报,2022 年 12 月 14 日, BSC 链上的NimbusPlatform项目遭到攻击,攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下:
1. 攻击者首先在 8 天前执行了一笔交易(0x7d2d8d),把 20 枚 BNB 换成 NBU_WBNB 再换成 GNIMB 代币,然后把 GNIMB 代币转入 Staking 合约作质押,为攻击作准备;
2. 在 8 天后正式发起攻击交易(0x42f56d3),首先通过闪电贷借出 75477 枚 BNB 并换成 NBU_WBNB,然后再用这些 NBU_WBNB 代币将池子里的绝大部分 NIMB 代币兑换出;
3. 接着调用 Staking 合约的 getReward 函数进行奖励的提取,奖励的计算是和 rate 的值正相关的,而 rate 的值则取决于池子中 NIMB 代币和 GNIMB 代币的价格,由于 NIMB 代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多;
4. 攻击者最后将最后获得的 GNIMB 代币和拥有的 NIMB 代币换成 NBU_WBNB 代币后再换成 BNB,归还闪电贷获利;
此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。[2022/12/14 21:44:29]
截止到目前,在各方的共同努力下,攻击黑客已将超8成的被盗资产退还到TransitSwap项目方地址,建议套利机器人所属人和攻击模仿者同样通过service@transit.finance或链上地址与TransitSwap取得联系,共同将此次被盗事件的受害用户损失降低到最小。
慢雾:Transit Swap黑客攻击交易被抢跑,套利机器人获利超100万美元:10月1日消息,据慢雾安全团队情报,Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑,区块高度为21816885,获利107万BUSD。套利机器人相关地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、
截止到目前,在各方的共同努力下,黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址,建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系,共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]
攻击黑客获利地址:
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
0x75F2...FFD46获利金额:约2410万美元
0xfa71...90fb
套利机器人获利地址:
1:0xcfb0...7ac7(BSC)获利金额:1,166,882.07BUSD
2:0x0000...4922(BSC)获利金额:246,757.31USDT
3:0xcc3d...ae7d(BSC)获利金额:584,801.17USDC
4.0x6C6B...364e(ETH)获利金额:5,974.52UNI、1,667.36MANA
攻击模仿者获利地址:
1:0x87be...3c4c(BSC)获利金额:356,690.71USDT
2:0x6e60...c5ea(BSC)获利金额:2,348,967.9USDT
标签:USDTRASWAPTRANScoinbase买的USDT不能发送easytravelPEPESWAP价格Translatix
ENS核心开发人员JeffLau发推文回应此前Vitalik关于ENS域名定价的评论文章。Jeff称,在过去5年多的时间里,我们对ENS域名所有权定价进行了长期而认真的思考.
1900/1/1 0:00:00据TheBlock报道,Solana生态去中心化自动化网络Clockwork完成400万美元种子轮融资,MulticoinCapital和Asymmetric领投.
1900/1/1 0:00:00据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出.
1900/1/1 0:00:00据Globenewswire报道,Web3漏洞赏金平台Immunefi发布了2022年三季度加密行业损失报告,数据显示年内迄今加密行业已损失2,328,917,23美元,其中三季度损失428.
1900/1/1 0:00:00据TheBlock报道,美国得克萨斯州南区破产法院法官MarvinIsgur签署三项命令,使ComputeNorth能够在第11章程序中继续运营关键业务.
1900/1/1 0:00:00据官方公告,以太坊流动性质押协议RocketPool已部署到以太坊Ropsten测试网并完成Redstone升级,这是RocketPool自推出主网以来的第一次重大升级.
1900/1/1 0:00:00
木星链