[Fairyproof:LP价格采用加权平均无法有效预防闪电贷]3月22日消息,Fantom上部署的DeFi应用OneRing Finance遭到攻击。本次攻击黑客的地址为Fantom上的0x12EfeD3512EA7b76F79BcdE4a387216C7bcE905e。黑客借助部署在0x6A6d593ED7458B8213fa71F1adc4A9E5fD0B5A58上的攻击合约发起了本次攻击。由于该合约在特定区块会自行注销,这使得外界难以追踪OneRing上具体哪个函数被调用从而引发了本次攻击。
在攻击中黑客首先利用Celer Network的cBridge通过跨链获得了发起攻击的GAS。接下来在部署上述攻击合约后的15分钟,通过闪电贷向Solidly借到80,000,000USDC,通过推高LP价格,改变了OShare代币的价格,从协议获取大量OShare代币,掏空了OneRing的资产。黑客最终将盗取的资金从Fantom跨链转回到以太坊并最终通过Tornado.Cash套现。
在本次攻击中,Fairyproof发现该协议计算LP价格的方式不合适,本协议使用的计算方式使得LP价格是瞬时价格,因此极易被操纵。
相关快讯:
Fairyproof:Hundred Finance与Agave遭遇攻击原因是由于转移ERC677代币引起的:3月16日消息,Gnosis Chain上的DeFi协议Agave和Hundred Finance遭到重入攻击,共计损失约1100万美元。造成此次重入攻击的原因是由于转移ERC677代币引起的,该代币有一个转移后调用函数叫 transferAndCall。
Fairyproof 推荐所有合约开发者三点注意:
1、合约内改变状态要放在对外交互之前(包括转移代币) ;
2、注意ERC20代币和ERC677代币的区别;
3、重要用户接口增加防重入锁。[3/16/2022 7:41:21 PM]
动态 | 欧洲基金Playfair Foundation支持注资X行动:据官方公告,欧洲基金Playfair Foundation高层紧急进行商讨会议,最终决定在本月进行X行动,基金会将会注资。为达成XCN匿名币共识,基金会(Playfair Foundation)前期将投入5000万用于本次行动的运营费用,并表示部分资金将用来搭建社区生态。X-WALLET是专业的数字资产管理钱包,通过旗下X-KEY硬件钱包,利用加密芯片技术为用户构建安全解决方案。根据WBF交易所官方公告,XCN将在北京时间2019年12月26日16:00上线进行交易,XCN将陆续上线OKEX等交易所。[12/25/2019 12:00:00 AM]
动态 | FairWin余额被清空,以太坊网络Gas消耗高饱和状态解除:据DAppTotal.com数据显示,昨日(10月01日),以太坊网络Gas消耗量价值总计510个ETH,Gas利用率占以太坊网络可承载Gas总量的81.69%。经综合对比发现,Gas消耗量排名前5的智能合约分别为:SpaceShips(7.13%),ERC20 USDT(5.43%),EtherHonor(3.23%),CodexCoin(3.75%),HyperFair(2.19%)。自08月26日以来,以太坊网络每日Gas消耗饱和度均在90%以上(高饱和度),持续了超一个月时间,不过昨天饱和度大幅回落至81.69%,主要由于资金盘游戏FairWin合约余额被清空,其对以太坊网络造成的拥堵也暂告一段落。[10/2/2019 12:00:00 AM]
郑重声明: Fairyproof:LP价格采用加权平均无法有效预防闪电贷版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。