Equipo de seguridad: El ataque Flurry Finance explotó el mecanismo de rebase de RhoToken

[Equipo de seguridad: El incidente de ataque de Flurry Finance utilizó el mecanismo de rebase de los tokens RhoToken] El 25 de abril, el equipo de seguridad de la cadena de bloques de Cobo analizó el incidente de ataque de Flurry Finance y descubrió que este ataque es similar a la clásica máquina Oracle de manipulación de préstamos flash El método de ataque es diferente, pero usa el mecanismo de rebase del token RhoToken en Flurry Finance. La razón esencial de la vulnerabilidad es que la fórmula para calcular el multiplicador cuando el protocolo cambia la base de RhoToken se basa en datos controlables externamente (la cantidad de tokens en el banco). Como resultado, el atacante se dio cuenta de la manipulación del multiplicador a través del préstamo flash y luego obtuvo una ganancia. Aunque este ataque usó la técnica de forjar ERC20 para reescribir el método de aprobación y luego usar el contrato StrategyLiquidate de Rabbit Finance para ejecutar código arbitrario, el código del contrato involucrado en esta técnica en realidad no tiene problemas de seguridad. El equipo de seguridad de blockchain de Cobo recuerda que los desarrolladores deben prestar especial atención a si el contrato depende de algunos datos externos que pueden ser manipulados maliciosamente al calcular la cantidad y el precio de los activos. El modo de ataque típico del oráculo de manipulación de préstamos flash en realidad es causado por el cálculo de algunos indicadores clave en el proyecto que se basan en el precio de los tokens en el grupo DEX.

Según noticias anteriores, el 22 de febrero, Flurry Finance en la cadena BSC fue atacada por un préstamo relámpago, lo que resultó en el robo de activos por valor de cientos de miles de dólares en el contrato Vault del acuerdo.

Otras noticias:

Equipo de seguridad: se produjo un tirón de alfombra en el proyecto DeFi AI, y el implementador del contrato obtuvo una ganancia de alrededor de 40 millones de dólares estadounidenses: Jinse Finance informó que, según el monitoreo de la plataforma de monitoreo de riesgos de seguridad, alerta temprana y bloqueo de Beosin EagleEye, un empresa de auditoría de seguridad blockchain Beosin, se produjo el proyecto DeFi AI The Rug pull, y el implementador del contrato obtuvo una ganancia de alrededor de 40 millones de dólares estadounidenses. Beosin Trace está monitoreando y rastreando los fondos robados. [2022/11/14 13:02:16]

Equipo de seguridad: El explotador de Audius ha transferido 700 ETH a Tornado Cash: El 24 de julio, según el seguimiento del equipo de seguridad CertiK, el explotador de la plataforma de música descentralizada Audius solo ha transferido 700 ETH a la billetera ETH de Tornado Cash Tornado Cash.

Según noticias anteriores, el tesoro de la comunidad de Audius fue explotado y se perdieron 18,5 millones de tokens de audio. El hacker intercambió los fondos por alrededor de 705 ETH en Uniswap. [2022/7/24 2:34:44]

Equipo de seguridad: Discord de UglyPeopleNFT fue pirateado: noticias del 17 de abril, el sistema de alarma BlockSec descubrió que el proyecto de discordia de UglyPeopleNFT fue pirateado a las 5:50 p. enlace falso falso en . [2022/4/17 14:29:43]