El 13 de mayo, hora de Beijing, el equipo de tecnología de seguridad de CertiK descubrió que la plataforma de estrategia de liquidez y compromiso de DeFi xToken fue atacada, y el grupo xBNTaBancor y el grupo xSNXaBalancer se agotaron de inmediato, lo que provocó una pérdida de casi 25 millones de dólares estadounidenses.
Con menos de la mitad de mayo, se robaron alrededor de $ 85 millones de este ataque, combinado con otros ataques ya en mayo.
Los errores clave descubiertos por el equipo de seguridad de CertiK en 2020 se dividen en tres categorías: errores lógicos, préstamos rápidos y fraude de parte del proyecto.
Parte de este incidente puede considerarse como un ataque de préstamo flash no "típico".
Los préstamos flash se pueden utilizar para préstamos sin proporcionar ninguna garantía. Por supuesto, todas las operaciones deben completarse dentro de un bloque de transacciones.
Los desarrolladores pueden tomar prestado y tomar prestado de protocolos como Aave o dYdX con la condición de que la liquidez se devuelva al grupo antes de que se cierre la transacción.
"Elf Master 3D" se lanzó oficialmente en la red principal de Cocos-BCX: Según noticias oficiales, recientemente, "Elf Master 3D", que fue desarrollado por el socio ecológico DAPPX, se lanzó oficialmente en la red principal de Cocos-BCX del público del juego. cadena. "Elf Master 3D" es un juego de captura de mascotas basado en el tema de Pokémon. El arte del juego está hecho en 3D completo. Los usuarios pueden iniciar sesión en la cuenta principal de COCOS a través de CocosWallet, DAPPX o IMCOCOS para experimentarlo. Hasta ahora, la red principal Cocos-BCX ha lanzado "Crypto Knights", "The Dragon Must Die", "XPEX Monster World", "Go Block", "Cocos Winning Coins", "Panda Games" y otros interesantes juegos en cadena. con varios modos de juego La ecología de la cadena pública del juego está creciendo y mejorando gradualmente. [2020/8/20]
Si los fondos no se devuelven a tiempo, la transacción se revertirá, manteniendo el fondo de reserva seguro.
Los préstamos flash tienen múltiples funciones y casos de uso, pero la mayoría de los préstamos flash que hemos visto hasta ahora se utilizan para transacciones de arbitraje. el
Primer lanzamiento | El informe financiero de Baidu refleja que la plataforma blockchain BaaS se ha convertido en un nuevo enfoque estratégico: Jinse Finance informó que el 28 de febrero de 2020, Baidu (código bursátil BAIDU) anunció su informe financiero, que describía por separado el progreso relacionado con blockchain BaaS Se espera que la plataforma blockchain basada en Baidu Smart Cloud se convierta en un nuevo motor de crecimiento en la dirección de la innovación tecnológica. En términos de servicios de IA, Baidu ha llegado a una cooperación con el Banco de Desarrollo de Shanghai Pudong para construir conjuntamente una alianza de cadena de bloques y realizar la verificación de información entre bancos en la plataforma Baidu Blockchain Service (BaaS). [2020/2/28]
El método de uso malicioso es atacar algunos otros protocolos DeFi o manipular el precio de la máquina del oráculo de precios; esto es exactamente lo que le sucedió a xToken esta vez.
Investigador de Frank tuitea para explicar cómo ocurrió el ataque
Primer lanzamiento | Mapa de máquina real Antminer S17 por primera vez expuesto con ventilador de doble tubo y diseño todo en uno: Tras el anuncio oficial de ventas al contado el 9 de abril, el próximo nuevo Antminer S17 de Bitmain tiene nuevos desarrollos. Se informa que el mapa de máquina real del Antminer S17 se expuso por primera vez en Internet hoy.
A juzgar por las imágenes expuestas, el Antminer S17 continúa con el diseño de ventilador de doble cilindro del producto S15 de la generación anterior y adopta el diseño de cuerpo de una máquina todo en uno. Algunas personas en la industria creen que el diseño de doble cañón puede acortar efectivamente el rango de viento, la diferencia de temperatura entre la entrada y la salida de la máquina minera será menor y el rendimiento de la máquina mejorará considerablemente.
Anteriormente, el responsable del producto de Bitmain dijo en una entrevista con los medios que, en comparación con la generación anterior de productos, el nuevo producto S17 ha mejorado mucho en términos de relación de eficiencia energética y potencia de cómputo por unidad de volumen. [2019/4/3]
1. Los piratas informáticos utilizaron préstamos rápidos para prestar alrededor de 61 800 ETH en dYdX.
2. Deposite 10 000 ETH en Aave para prestar 564 000 SNX y luego intercambie 5500 ETH por aproximadamente 700 000 SNX a través de SushiSwap.
La tasa de votos electorales del súper nodo EOS debut dorado alcanzó el 6,49%: transmisión de datos de Golden Finance, a las 15:50 del 13 de junio, hora de Beijing, la tasa de votantes de EOS alcanzó el 6,49%. EOS Gravity Zone y EOS Canon, como dos equipos de campaña de súper nodos de China, ocuparon temporalmente el quinto y sexto lugar. Entre ellos, el número total de votos para EOS Gravity Zone fue de 9,03 millones, lo que representa el 2,96 %; el número total de votos para EOS Canon fue de 8,77 millones, lo que representa el 2,87 %. EOSflytomars, que había surgido antes, ocupó temporalmente el puesto 17, con un total de 6,3 millones de votos, lo que representa el 2,07%. Entre los 30 mejores equipos de campaña de supernodos, ocho equipos son de China. [2018/6/13]
Posteriormente, se vendieron 1,2 millones de SNX en Uniswap v2 y se obtuvieron 818ETH, lo que redujo considerablemente el precio de SNX.
3. Después de que se redujera el precio, el atacante acuñó 1200 millones de xSNXa con solo 0,12 ETH.
Esto se debe a que el protocolo compra SNX y acuña xSNXa a través del oráculo de precios de Kyber, que hace referencia a los precios de Uniswap v2.
4. Sin embargo, en el protocolo Balancer, el precio de xSNXa sigue siendo el precio original, lo que permite al atacante intercambiar 105 millones de xSNX por 414 ETH.
5. Más tarde, el atacante compra SNX con ETH en Uniswap y Sushiswap para pagar el préstamo en Aave, vende el xSNXa existente al grupo SNX/ETH/xSNXa (25/25/50) de Balancer y paga mientras obtiene una ganancia del préstamo flash de dYdX .
El contrato xBNTa utiliza ETH para acuñar xBNTa. el
El principio es intercambiar ETH por BNT en el protocolo de Bancor en el contrato inteligente y usar la cantidad de BNT intercambiada para calcular la cantidad de xBNTa acuñada.
Sin embargo, el método "mint" en el contrato no verificó si la moneda intercambiada por ETH era BNT. El atacante reemplazó BNT con una gran cantidad de token SPD y falsificó la cantidad de BNT, para que pudiera emitir xBNTa infinitamente.
El atacante llamó al método "mint" cuatro veces, cada vez usando 0.03ETH para acuñar una gran cantidad de xBNTa, y finalmente obtuvo 3.9 mil millones de xBNTa, e intercambió la mitad de los xBNTa obtenidos por alrededor de 780,000 BNT.
Pero, ¿por qué este truco es diferente de los ataques de préstamos flash anteriores?
Porque la transacción del atacante se implementa utilizando Flashbots MEV, lo que garantiza la privacidad de la transacción y evita que la transacción sea "intercalada" por otros usuarios cuando interactúan con el AMM.
Terminología explicada
Flashbots es una organización de investigación y desarrollo que se estableció originalmente para aliviar el impacto negativo y los riesgos de supervivencia que trae el "valor extraíble del minero (MEV)" a las cadenas de bloques de la plataforma de contrato inteligente.
Proponen diseñar un ecosistema sin permisos, transparente y justo para que MEV defienda el concepto de Ethereum.
Miner Extractable Value (MEV) es un estándar diseñado para estudiar la seguridad de consenso, que modela el valor obtenido por los mineros (o validadores de nodos) al incluir, eliminar o reordenar arbitrariamente transacciones en los bloques que producen.
Por ejemplo, un atacante podría ver una transacción rentable e intentar obtener una ganancia pagando una tarifa de transacción más alta para ejecutar la transacción. O intercalando transacciones AMM.
Ataque sándwich: cuando el atacante observa una transacción en la que el activo X se intercambia por el activo Y en el grupo de transacciones, el atacante puede comprar el activo Y por adelantado y luego dejar que la víctima ejecute la transacción para aumentar el precio del activo Y, y luego el precio del activo Y Después de la subida, venda el activo Y comprado previamente para obtener una ganancia.
Entonces, incluso los atacantes deben tener cuidado con todos los merodeadores que acechan en el bosque oscuro.
Los flashbots requieren que los usuarios usen una clave API personal, y es muy probable que los atacantes dejen sus propios rastros cuando usan Flashbots.
Por lo tanto, encontrar el historial de uso de la clave API también se puede utilizar como uno de los medios para recuperar pérdidas.
En realidad, no es común que xToken, como un excelente proyecto DeFi que ha sido auditado por una gran empresa de seguridad, sufra un ataque de este tipo.
Esto también nos reveló una vez más el hecho de que las auditorías de seguridad estática no pueden garantizar el 100 % de seguridad.
La seguridad no es algo único, es un proceso continuo.
La tecnología Blockchain está cambiando cada día que pasa, y también están surgiendo nuevos métodos de ataque en un flujo interminable.
No podemos saber ni predecir el próximo ataque al que nos enfrentaremos. Como empresa de seguridad blockchain líder en la industria, una serie de herramientas de seguridad y servicios de seguridad completos desarrollados por CertiK brindarán seguridad a las partes del proyecto y a los inversores. Una vez que aparezcan los activos cifrados en el evento de robo accidental, las pérdidas se minimizarán.
Tags:
Polkadot Kusama tuiteó que la actualización de la versión V0.9.1 ha sido aprobada por el consejo y actualmente se encuentra en la etapa de votación pública. La votación finalizará el 14 de mayo.
Debido a que las transacciones de criptomonedas son notoriamente difíciles de rastrear y anónimas, los contribuyentes pueden usarlas para ocultar ingresos imponibles.Ahora.
Una nueva encuesta realizada por Gamblers Pick, un sitio web de juegos y entretenimiento, encontró que una cuarta parte de los estadounidenses cree que Dogecoin, una criptomoneda repleta de memes.
El 13 de mayo, hora de Beijing, el equipo de tecnología de seguridad de CertiK descubrió que la plataforma de estrategia de liquidez y compromiso de DeFi xToken fue atacada.
"Find New" es un proyecto de observación de proyectos de blockchain lanzado por Jinse Finance. Cubre el desarrollo de proyectos en varios campos de la industria.
Comentario fugitivo: ¿Ya está aquí la temporada de Shanzhai? ETH, DOGE y otras altcoins alcanzaron nuevos máximos el pasado fin de semana.
El 4 de mayo, hora de Beijing, el Chicago Mercantile Exchange Group (CME), un mercado de negociación de derivados.