[flash.sx闪电贷智能合约遭攻击,项目方发起提案更改黑客EOS账号权限以转回资产]官方消息,EOS Nation旗下闪电贷被黑客攻击后,项目方发起提案直接更改了黑客EOS账号权限转回资产。据悉,项目方发起的提案,把黑客地址权限改成了BP,BP通过后执行。此前消息,flash.sx闪电贷智能合约遭攻击,120万EOS和46.2万USDT被盗。
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
Flashbots发布V0.2版引入捆绑合并功能:研究MEV(矿工可提取价值)问题的机构Flashbots发布V0.2版本,并引入捆绑合并功能。Ethermine开采了第一个多捆绑区块。Flashbots产品经理RobertMiller表示,这意味着Flashbots矿工现在可以在每个区块中挖掘多个捆绑包。此前,每个块只能有一个捆绑包。自Flashbots推出以来,超过10万个捆绑包已包含在链中,从而提高了MEV提取效率,并为搜寻者和矿工带来了部分利润。从历史数据来看,每个Flashbots区块平均可带来约0.2ETH的利润,预计捆绑合并将使每个区块的利润大幅增长。捆绑合并还为普通用户提供了一个可频繁通过Flashbots包含他们交易的机会,并可不再与机器人竞争成为一个区块中的唯一捆绑。[2021/5/25 22:40:53]
动态 | Xpring投资Flare Networks以改善XRR用例:金色财经报道,Ripple投资部门Xpring宣布投资Flare Networks,以支持XRP的新用例。公告指出,对于XRP用例,Flare将使用XRP地址和加密系统,为XRP用户提供与Flare网络上的智能合约进行无缝交互的方式。Xpring认为,用户和开发人员希望在更多的用例中利用XRP,而Flare Network将为更多希望利用XRPL满足其需求的公司和开发人员提供这种能力。Flare Network目前正与其早期合作伙伴进行测试。[2019/11/6]
郑重声明: flash.sx闪电贷智能合约遭攻击,项目方发起提案更改黑客EOS账号权限以转回资产版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。