09月04日,星期六 11:14
火讯财经讯,据慢雾区情报DAO Maker 的 Vesting 合约遭到黑客攻击。 DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO) 都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美金。 黑客利用 Vesting 合约中的漏洞,将 Vesting 合约中的代币提走,如下是简要分析: 对 Vesting 合约的实现合约 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 进行反编译得到如下信息: 1. Vesting 合约中的 init 函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行 init 函数成为 Vesting 合约的 Owner。 2. Owner 可以执行 Vesting 合约中的 emergencyExit 函数,进行紧急提款。 相关合约地址:(以 DERC 为例) Vesting 代理合约: 0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940 0xdd571023d95ff6ce5716bf112ccb752e86212167 Vesting 实现合约: 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 黑客地址: 0x2708cace7b42302af26f1ab896111d87faeff92f ------------------------------------------ 利用同样的手法其攻击其他 Vesting 合约,转移如下代币: DeRace Token (DERC): 0x9fa69536d1cda4a04cfb50688294de75b505a9ae Coinspaid (CPD): 0x9b31bb425d8263fa1b8b9d090b83cf0c31665355 Capsule Coin (CAPS): 0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2 Showcase Token (SHO): 0xcc0014ccb39f6e86b1be0f17859a783b6722722f
0
火讯财经讯,3月16日消息,欧易OKX行情显示,ETH刚刚突破2100美元,现报2106.92美元/枚,日内涨幅0.62%。
2 小时前
火讯财经讯,3月15日消息,据金十报道,国际能源署(IEA)表示,紧急储备中的石油将很快开始流入全球市场,来自亚洲和大洋洲国家的库存将立即可供使用,来自欧洲和美洲的库存将于三月底可供使用,各国政府已承诺从战略石油储备中释放2.717亿桶原油,从强制行业储备中释放1.166亿桶原油,美洲成员国将提供1.722亿桶石油,在计划释放的石油中,72%为原油,28%为石油产品。
4 小时前
火讯财经讯,3月15日消息,据链上分析师余烬监测,一个从Tornado收到7400枚ETH的地址(黑客?),主导了今天晚上CAKE和THE的抵押品清算事件,导致了Venus产生约215万美元的清算亏空(118万CAKE+184万THE),而黑客从Venus拿到了约507万美元资金(2,172BNB+151.6万CAKE+20BTC): 1、该地址先是通过0x7a7...234地址从Tornado收到7,400枚ETH,然后存进Aave抵押借款992万U(包括USDT、DAI、USDC)再转移到多个钱包用于购买THE。 2、今晚8点左右,他应该是在CEX里拉升了THE价格(应该之前还部署了多单)。然后通过2个钱包把3610万枚THE存进Venus,借出BTC、BNB、CAKE等资产。 3、40分钟后THE价格暴跌(很可能是他的平多开空),他在Venus上的抵押品被清算并助推THE价格进一步下跌。最终这两个钱包的抵押品被全部清算完,但还剩下约215万美元(118万CAKE+184万THE)的借款尚未偿还,成为了Venus的亏空。 总的来说,他是借了992万U,但从Venus上借出的资产也只价值507万美元,单看链上虽然并不赚钱,但猜测应该是通过链上清算来主导THE的下跌从而使他在CEX里的仓位盈利。
4 小时前
火讯财经讯,3月15日消息,据金十报道,国际能源署(IEA)在收到成员国的实施计划后发布了一份声明。该机构表示,随着亚洲买家急于填补因中东战事干扰而损失的石油供应,此次创纪录的储备释放中的石油将立即在亚洲投放。面向欧洲和美洲的石油则要到3月底才能投放。IEA上周表示,由于中东战事实际上阻断了关键的霍尔木兹海峡航道,全球石油市场正面临有史以来最严重的供应中断。亚洲买家对来自中东的石油供应依赖最大,因此储备释放的速度对该地区尤为关键。国际能源署署长比罗尔在X平台发文称:“这将从3月16日起以前所未有的额外石油供应量投放市场。然而,开放霍尔木兹海峡对于恢复稳定的石油流通至关重要。”从全球范围来看,当前承诺投放的石油总量中约72%为原油,28%为石油产品。
4 小时前
火讯财经讯,3月15日消息,Aave发布3月12日Swap事件复盘报告称,一名用户在其前端界面通过集成的CoWSwap路由执行代币兑换,试图将约5043万枚aEthUSDT(价值约5043万美元)兑换为aEthAAVE,但由于交易规模远超市场流动性,最终仅获得约327枚aEthAAVE,价值约3.6万美元。 Aave表示,该交易发生在第三方协议CoWSwap上,并未影响Aave核心借贷协议安全。交易报价显示价格影响高达99.9%,界面曾明确提示“可能导致100%价值损失”,用户需勾选确认后才能继续执行交易。 链上执行流程显示,交易资金先在UniswapV3的USDT/WETH池兑换为WETH,再通过SushiSwap的AAVE/WETH池购买AAVE,最终生成约331枚AAVE并存入AaveV3铸造aEthAAVE。 Aave指出,本次事件的根本原因是大额交易在低流动性市场中产生极端价格冲击,而非滑点问题。作为改进措施,Aave计划推出“AaveShield”保护机制,默认阻止价格影响超过25%的Swap交易,用户需手动关闭该保护才能继续高风险交易。同时,此次交易产生约11万美元的Swap费用,Aave表示若用户联系并完成验证流程,将考虑退还相关费用。
5 小时前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
