创宇区块链|Rari Capital 遭受重入攻击,损失超 8000 万美元

最新推荐文章于 2024-07-23 15:41:13 发布
最新推荐文章于 2024-07-23 15:41:13 发布
阅读量1.8k 收藏
点赞数
文章标签: 区块链 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/124630669
版权

前言

北京时间 2022 年 4 月 30 日,知道创宇区块链安全实验室 监测到以太坊上 feiprotocol 和 RariCapital 协议中的多个池子遭到重入攻击,导致损失超 8000 万美元。

知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

在这里插入图片描述

基础信息

众所周知,compound 项目的代码本就存在一些安全问题,而 feiprotocol 和RariCapital协议延用了compound 的代码库,同时在 doTransferOut() 方法的实现中使用了存在重入的写法,导致了事件的发生。

因此次事件中的多次攻击方式相同,本文仅对一次攻击进行分析。

攻击者地址:0x6162759edad730152f0df8115c698a42e666157f

攻击合约:0x32075bad9050d4767018084f0cb87b3182d36c45

tx:0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合约:0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

漏洞分析

漏洞关键在于 CEtherDelegator 合约中的 doTransferOut 方法使用了 call 方法进行代币转移,而在使用时并未对其进行gas限制,导致能够被利用实现重入攻击ÿ

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第105篇 Compound 中的 Comptroller
wonderBlock的博客
01-28 1696
参考文档:Compound | Docs - Comptroller Introduction The Comptroller is the risk management layer of the Compound protocol; it determines how much collateral a user is required to maintain, and whether (and by how much) a user can be liquidated. Each time a u
创宇区块链 | Rikkei Finance 遭黑客攻击损失已有百万美元
SierraW的博客
04-20 5047
DeFi 协议 Rikkei Finance 遭黑客攻击,已有 108.5 万美元被盗资金被转Tornado Cash 混币。
创宇区块链 | 黑客利用漏洞盗币,Ola_finance 攻击事件分析
SierraW的博客
04-02 3917
Ola_finance 遭黑客攻击损失达 467 万 美元,黑客如何利用漏洞发起攻击,实验室带你一探究竟。
创宇区块链|bDollar 项目遭受攻击,价格如何能成为一把利器?
SierraW的博客
05-24 298
BSC 链上的 bDollar 项目遭受攻击,黑客通过操纵价格获利 73万美元。
知道创宇区块链安全实验室|bHOME 攻击事件分析
SierraW的博客
03-09 259
BaconProtocol遭受黑客攻击损失约958,166美元,黑客利用漏洞,并凭借闪电贷扩大收益额。
创宇区块链|Beanstalk 遭黑客攻击,又是闪电贷?
SierraW的博客
04-19 3818
黑客如何利用闪电贷给Beanstalk 造成8000万美元巨额损失
创宇区块链|小缺陷大损失 ,GYM Network 何至于此 ?
SierraW的博客
06-09 738
BSC 链上 NFT 项目 GYM Network 因权限控制问题而被攻击,造成约 216W 美元损失
创宇区块链蹈覆辙?为何 DEUS 协议再受攻击
SierraW的博客
04-29 1686
时隔一月,Fantom 平台 DEUS 协议再次遭受攻击损失 1000 万美元。
创宇区块链 | 6 月安全月报
SierraW的博客
06-30 3134
本月安全事件造成的损失总金额再创新高,损失共计约 1.21 亿美元。
知道创宇区块链安全风险白皮书.pdf
12-14
知道创宇区块链安全风险白皮书.pdf
知道创宇发布区块链安全整体解决方案.pdf
08-15
#资源达人分享计划#
区块链安全
04-30
知道创宇区块链安全培训,内容丰富全面,值得学习。
知道创宇研发技能表v3.1.rar
10-16
关于知道创宇 知行合一 | 守正出奇 知道创宇是一家黑客文化浓厚的安全公司,愿景是让互联网更好更安全 本技能表为知道创宇研发工程师的技能树集合,是的,很庞大 聪明的人,会根据每个tip自驱动扩展 不聪明的人,...
区块链的基石:工作量证明机制,如何驱动数字货币革命?
JavaEdge全是干货的技术号
07-21 895
POS会面临发token的问题,起初只有创世块上有token,意味着只有这个节点可以挖矿,所以让token分散出去才能让网络壮大,所以早期采取的是POW+POS,即第一阶段POW挖矿,第二阶段POS挖矿,后来ERC20合约token出现后,可以只存在POS的挖矿形式。相对于比特币等PoW类型的token,更加去中心化,相比PoW算法的51%算力攻击,PoS需要购买51%的token,成本更高,没有攻击意义。第一代共识机制,比特币的基础,即“按劳取酬”,你付出多少工作量,就获得多少报酬。
深耕区域市场,ATFX以投教引领市场新风向
pycxiaoy的博客
07-19 620
自创立以来,ATFX遵循“以客户为中心”的服务理念,针对不同区域市场、用户群体和多元化需求,坚持以市场用户需求为突破点,不断开发满足市场及用户实际需求的产品和服务,并提供优质有针对性、个性化、本土化和定制化的投教产品、服务及解决方案,以专业回馈市场,由此品牌取得了业界瞩目的市场成绩和不俗市场口碑,而这正是ATFX品牌充满勃勃生机、不断取得优良成绩的基础。本着“先知而后行”的服务理念,ATFX积极在全球范围内精心布局,成功在亚洲、中东、欧洲、南美以及更多新兴市场举办一系列内容丰富的投教服务活动。
区块链革命:探索Web3如何塑数字世界
dd8989089的博客
07-19 1192
Web3作为区块链技术的要应用范式,以其去中心化、安全和可编程性质,正在深刻地改变着我们的数字世界。通过本文的介绍,希望读者能够深理解Web3技术在塑数字世界中的作用和潜力,为未来的技术创新和社会进步贡献智慧和力量。
Covalent(CXT)运营商网络规模扩大 42%,以满足激增的需求
区块链蓝海
07-22 1007
Covalent Network(CXT)是领先的模块化数据基础设施层,致力于解决区块链和 AI 领域的主要挑战,包括可验证性、去中心化 AI 推理和长期数据可用性。随着 Covalent Network(CXT)网络的委托空间迅速达到 100% 的容量,且 CXT 代币 22% 的供应量被质押, Covalent Network(CXT)认识到社区对其验证基础设施的坚定承诺,并为进一步提升和去中心化网络而致力于加强其运营,增加新的运营商将是确保持续质量、可靠性和效率的关键步骤。
数据隐私保护与区块链技术的结合:新兴趋势分析
最新发布
weixin_44672358的博客
07-23 449
数据隐私保护指的是在数据收集、存储、处理和传输过程中,保护个人数据免受未经授权的访问和滥用。随着互联网的普及和数据驱动的发展,个人数据的泄露和滥用成为了一个严峻的挑战。传统的数据存储和管理方式往往依赖于集中式的数据中心,存在单点故障和数据被攻击的风险。数据隐私保护与区块链技术的结合,不仅仅是技术革新的体现,更是保护用户权益和数据安全的要手段。随着区块链技术的不断发展和应用场景的拓展,相信在不久的将来,区块链将在数据隐私保护领域发挥越来越要的作用。
客户端安全:跨站脚本攻击与防御策略
此话题由知道创宇的安全研究员Evi1m0提出,他是邪红色信息安全组织的创始人,他在多个平台分享过关于客户端安全的研究成果。 首先,Evi1m0通过历史案例强调了客户端安全的要性。例如,腾讯QQ群的XSS漏洞利用了群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值