欧易下载

欧易交易所
欧易交易所APP官网下载

欧易交易所(OKX)是最老牌的比特、莱特、以太交易所,欧易交易平台支持OTC法币交易,支持微信、支付宝和银行卡转账,安全方便快捷,欧易下载官方APP链接。

首发 | Opyn ETH Put逻辑漏洞技术分析

8月5日凌晨四点,有用户在opyn论坛反馈自己的账户余额无故消失,并有用户发现可疑的交易信息,如下图所示:

Opyn项目方再对情况初步分析后做出回应表示:已经转移了资金,并正在寻找问题原因

截至发稿前,官方发文回应此次事件:遭到黑客攻击,并已对可能遭受攻击的资产进行转移,但此次漏洞只涉及ETH合约,并不影响其他合约。如下图所示:

成都链安-安全实验室第一时间对本次事件进行跟踪分析,以下是态势感知系统检测盗的攻击者合约地址:

V神:人们仍然低估加密货币支付的优势:金色财经消息,以太坊创始人Vitalik Buterin(V神)发推特表示,人们仍低估加密货币支付的优越性,甚至不是因为审查阻力,而是因为它们更方便。这(加密支付)极大的促进了国际商业和慈善事业,有时甚至是国内支付。[2022/8/25 12:47:10]

0xe7870231992ab4b1a01814fa0a599115fe94203f

0xb837531bf4eb8ebfa3e20948bd14be067c18cbd3

0xb72e60ea1d0c04605f406c158dce9ac6ae6d224c

攻击者攻击方式还原:

1、 攻击者调用合约向合约发送n个USDC增加抵押,并得到合约币oETH

2、 攻击者调用合约发送ETH进行抵押,并销毁oETH以赎回自己的USDC

3、 攻击者赎回自己抵押的ETH。

Aave创始人Stani Kulechov参与加密风投公司Variant Fund,仍继续担任在Aave的职务:3月6日消息,去中心化借贷平台Aave创始人Stani Kulechov将以风险合伙人身份参与加密风投公司Variant Fund,但仍将继续担任在Aave的职务。[2021/3/6 18:20:38]

在步骤二中,攻击者调用exercise函数,并向其传递了两个地址A(攻击者自己地址)、B(他人未赎回USDC的地址)和两倍自己应得的USDC,程序正常执行,这导致地址B的资金受损。

以交易

0x56de6c4bd906ee0c067a332e64966db8b1e866c7965c044163a503de6ee6552a

为例,攻击者通过合约

0xe7870231992ab4b1a01814fa0a599115fe94203f对合约0x951D51bAeFb72319d9FBE941E1615938d89ABfe2

A股开盘:深证区块链50指数上涨0.13%:金色财经消息,A股开盘,上证指数报3417.52点,开盘上涨0.46%,深证成指报13923.66点,开盘下跌0.04%,深证区块链50指数报3910.55点,开盘上涨0.13%。区块链板块开盘上涨0.12%,数字货币板块开盘上涨0.17%。[2020/11/25 22:01:57]

发动攻击,此笔交易中共获利$9907。如下图所示:

攻击者首先调用了addERC20CollateralOption函数,向合约中发送了9900个USDC,如下图所示:

此函数中的addERC20Collateral(msg.sender, amtCollateral);负责代理转账USDC;函数中的issueOTokens(amtToCreate, receiver);负责铸币oETH,此笔交易铸币30个oETH并发送给了攻击者,如下图所示:

在此完成后,攻击者的vault参数进行了变化。vault.oTokensIssued和vault.collateral分别更新300000000和9900000000为如下图所示:

然后攻击者开始将oETH兑换出来。

调用exercise,构造参数oTokensToExercise为60,vaultsToExerciseFrom为两个地址,其中一个是也满足条件的他人地址。如下图所示:

Exercise函数运行_exercise(vault.oTokensIssued, vaultOwner);分支,将30oETH相应比例的USDC发送给调用者,如下图所示:

我们可以注意到,在最终转账时,_exercise是将USDC转给了msg.sender,也就是攻击者。

我们回头看exercise中存在者for循环,攻击者输入的oTokensToExercise为60,所以合约再验证了第二个地址符合条件的情况下,依旧会将余额转给msg.sender,也就是攻击者。这就使得攻击者可以获得两次USDC,从而获得利润。

此次事件攻击者利用了exercise函数的逻辑缺陷。此函数在进行最后转账前并未验证调用者是否有权限赎回此地址的USDC,只是简单的验证了地址是否可以赎回。属于代码层的逻辑漏洞,并且根据官方回复,此合约是经过安全审计的。成都链安在此提醒各项目方:

1、 项目上线前应当进行足够有效的安全审计,最好是多方审计

2、 对于合约的应当设置暂停合约交易等功能,在发生安全事件时,可以以保证资金安全

3、 安全是一个持续的过程,绝非一次审计就能保平安,与第三方安全公司建立长期的合作至关重要

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

欧易交易所

Bitcoin掌握区块链标准方面的国际话语权 究竟意味着什么?

为什么要制定区块链标准?为什么要积极参与国际区块链标准制定?为什么要掌握区块链标准方面的国际话语权?制定区块链标准的意义又是什么?大家可以带着这些问题跟52cbdc一起来看今天的文章: 2016年10月份工信部发布《中国区块链技术和应用发展白皮(2016)书》,明晰了区块链主要特点和应用领域,并提出了区块链标准化路线图。

币安下载Cash App二季度比特币交易收入为8.75亿美元

推特首席执行官Jack Dorsey拥有的交易应用Cash App的二季度比特币交易收入达到8.75亿美元。 根据Square公司发布的报告,这也是Cash App迄今为止最好的季度收入记录,在19.20亿美元的总收入中,近一半来自比特币交易服务。该公司表示,虽然几乎所有业务都有增长,但是随着加密市场的复苏,比特币交易产生的收入尤为可观。

以太坊交易增量市场 没什么可担心的

狂人本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸! 本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议,据此投资,责任自负。

币安app下载金色趋势丨纳斯达克为我们预演了BTC未来大牛行情

我们从BTC和纳斯达克指数长期走势对比可以发现,两者之间还是比较相似的,前期阶段都是牛市顶点回落的长期下降趋势线压制,目前BTC这一轮3800-10000的趋势行情也是未能突破17年顶点下来的趋势线,价格冲至1万美金上方再回落,包括19年顶点14000美金和今年初行情的顶点10500美金,都未能有效突破这一长期压制线,这一点和纳斯达克指数走势非常相似。

[0:15ms0-0:500ms