fegexPro--SmartDeFi 攻击分析

最新推荐文章于 2024-08-09 14:21:54 发布
最新推荐文章于 2024-08-09 14:21:54 发布
阅读量307 收藏
点赞数
文章标签: 区块链 以太坊 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Timmbe/article/details/125025514
版权

2022年5月17日 R0X被攻击损失约130万
相关信息:https://www.tuoluo.cn/article/detail-10098039.html
攻击交易:
https://bscscan.com/tx/0xe956da324e16cb84acec1a43445fc2adbcdeb0e5635af6e40234179857858f82

合约代码:(SmartDeFi 未验证–但代码与fegexPro代码相似->{类似与fegexPro与erc20代码的结合})
所以参考代码为:https://bscscan.com/address/0x818e2013dd7d9bf4547aaabf6b617c1262578bc7#code

与5月16日fegexPro池被攻击(https://www.lianantech.com/#/infomationDetail?id=640)不同,SmartDeFi 与fegexPro代码在depositInternal函数中为直接调用tranceferfrom函数传递token,并记录用户抵押数量,所以无法实现重复抵押再调用swapToSwap提取,但池中代币的计算方式与fegexPro计算方式基本相同,

 //fegexPro 合约代码
 function setTokenBalance() internal {
        _records[Token].balance = IERC20(Token).balanceOf(address(this)) - _totalSupply1;  
    }
        
    function setMainBalance() internal {
        uint256 al = (_totalSupply2 +_totalSupply7 + _totalSupply8);
        _records[Main].balance = IERC20(Main).balanceOf(address(this)) - al;
    }

同时买卖也是通过_records[Main].balance, _records[Token].balance这两个变量来实现计算输出值的.

calcOutGivenIn( inRecord.balance, bmul(1e18, 25),outRecord.balance, bmul(1e18, 25), bmul(msg.value, bdiv(999, 1000)),0);

因此,可以通过质押后调用swapToSwap来减少_totalSupplyX数量同时IERC20(X).balanceOf(address(this))数量保持不变,增加_records[X].balance的值,导致卖出相同数量的token,可以获得更多代币.

所以SmartDeFi基本攻击流程为:

  1. 在限制内购买大量(R0X)代币.
  2. 质押超大量fBNB,并调用swapToSwap(将对应fBNB授权给自己合约),同时提高(R0X)代币的价格.
  3. 调用sync()同步更新池内代币价格
  4. 卖出步骤1内购买的大量(R0X)代币,获得超过购买时所花(BNB)金钱.
  5. 提取步骤2中授权的所有(fBNB)代币.完成攻击

漏洞影响范围:所有SmartDeFi协议.
漏洞原因:不受信任的 path 参数被传递到函数swapToSwap中,同时并未验证代币是否真正被发送.

放牛日记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FEG创始人ROX:SmartDefi将会是整个去中心化金融市场的标杆
02-07 1万+
2021年,我们见证了加密市场的快节奏,整个加密领域风起云涌,短期内引爆了整个市场,但随着一个个项目的过度开采,偷池,跑路等状况频发,狂欢过后一地鸡毛,传统的DeFi市场演变成了一出“烂戏”,之后的DeFi一直在进行各种创新,但是脚步非常缓慢。在这种背景下,FEGex创始人ROX先生想到了SmartDefi概念,通过一系列新的机制改变了流动性提供者和参与用户之间的关系最终构建一个智能化,安全化的平台体系。虽然其持久性还需市场考验,但它的到来明确了DeFi市场在积极进行新的探索和改革。 DeFi存在的理由是
Smart Home,让黑客攻击更加Smart
互联网安全研究院
02-02 664
前段时间的intel漏洞闹得全世界沸沸扬扬,在大家都诟病intel这样的大企业怎么能出如此害人的漏洞时,大概还不明白,其实没有任何一款软件是绝对安全的。 现在公认人脸识别是比较安全的,高端手机系统和一些门禁系统纷纷采取人脸识别,以显示自身系统的安全性。 然而,在一场白帽黑客的比赛上,一名90后女选手“tyy” 仅用时两分半钟就破解了人脸门禁系统。 黑客首先通过wifi
智能合约风险:SmartMesh攻击,uint溢出之祸
郑泽洲的博客
05-30 960
SmartMesh的理念 智能合约又双叒叕出事了。这次是SmartMesh。 SmartMesh其理念很好,想网络访问领域的去中心化,将来人们联网,不要路由器和交换机,直接相连,电信运营商都死翘翘,每个人按网络贡献挖矿获得收益,发出网络别人帮忙要给钱 SmartMesh遭受的攻击 具体攻击交易之一 事件描述: d6a09bdb29e1eafa92a30373c44b09e2e2e...
SmartDeFi完成100万美元融资 将于二季度正式推出
gunzhuai1888的博客
06-10 423
据官方消息,总部位于旧金山的非托管投资应用程序SmartDeFi宣布完成100万美元Pre-seed轮融资。SmartDeFi将于今年第二季度正式推出,目前已发布抢先测试版。 据悉,SmartDeFi由KieranDaniels(CEO)和DziugasButkus(CTO)于2020年创立,旨在消除加密入门门槛,使用户能够直接从移动设备使用银行账户、信用卡或ApplePay访问调整风险后的DeFi产品。 文章链接:https://www.tuoluocaijing.cn/kuaixun/detail-17
DeFi的十大常用必备工具,绝对干货,务必收藏!
TritiumVC的博客
07-28 5434
​文 |Stakingbits 翻译 |Yuri 编辑 | Daniel 出品 |TritiumVentures 导言 本文推荐了十多个对DeFi 投资者有用的工具,并普及了各个工具的优缺点,里面大部分都是DeFi玩家的必备工具,在国内使用的普及度并不是很高,今天一并推荐给大家。 1.vFatTools vFat Tools 包含收益分析、收益计算器、公示板的一体化Defi平台。 它是 yieldfarming.info 的一个分支,包含了不同主链和更多项目。用户可以使...
零时科技 | FEGtoken遭受攻击,损失超130万美元事件分析
m0_37598434的博客
05-18 1332
北京时间 2022年5月16日 BNB Chain 和 Ethereum 链上 FEGtoken 遭到闪电贷攻击。损失资金价值超过130万美元。
SMART: 通用对抗式训练
luv_dusk 的博客
08-21 2357
背景 纯粹的微调下,由于目标函数设置过于简单,神经网络很容易急不可耐地收敛到最近的局部最优点。这些最优点不仅并非全局最优点,同时不抗攻击。只要在模型输入上稍加扰动,输出的概率分布便会产生大幅度的偏移。为此,一些研究潜心于此,希望能让神经网络学习到的映射能力更为 平滑,从而进一步地提高 泛化能力。如果你对深度学习有一定深入的了解,对于这一点一定不陌生。 这些研究里最为经典的当属 VAE (变分自编码器),通过 reparameterization,将噪声结合到模型前馈的中间流程,基于不变的输入和输出,提高中间
常见的网络攻击
西红柿炒土豆
10-12 839
(1)XSS攻击: XSS攻击本质上来讲是
SMART使用详解(一)前言
chf的博客
03-30 4006
说明 本系列博客将介绍一个用于地震正演模拟及相关研究的 MATLAB 软件包,Seismic modelling and research toolkit ,简称 SMARTSMART 可以在Github或者这里下载。SMART 是博主在研究生期间写的一些代码的集合。限于作者水平,难免存在疏漏、不妥以及错误之处,敬请批评指正。 作为一个开源工具包,SMART旨在为那些刚刚接触地震正演模拟的学...
创宇区块链|两天内遭遇两次攻击DeFi 协议 FEG 真的伤不起
SierraW的博客
05-18 470
多链 DeFi 协议 FEG 两天内遭遇两次攻击,累计损失超300万美元。
沪深300股指期货如何操作套期保值?
YSGZJJ的博客
08-09 337
例如,在包含多种股票的基金组合中,若大部分股票与某股指期货标的指数高度相关,而少数股票则具有独特的收益特性,基金经理可根据市场预测,仅对与指数相关性高的部分股票进行套保,以平衡风险与收益。建立有效的监控机制,持续跟踪套保组合的套保比例、套保效率及基差变化等关键指标。空头套保:若投资者预测市场将下跌,为保护现有持仓价值,避免系统性风险带来的损失,可采取持股不动的同时,在期货市场卖空相应合约,实现风险对冲。选择与套保期限相匹配的期货合约,优先考虑到期日最接近套保结束日期的合约,以确保套保效果的最大化。
人工智能(AI)、Web 3.0和元宇宙三者联系、应用及未来发展趋势的详细分析
weixin_51306394的博客
08-06 888
人工智能(AI)、Web 3.0和元宇宙作为当前科技领域的热门话题,它们之间存在着紧密的联系,并在各自领域内展现出广泛的应用和未来的发展趋势。以下是对这三者联系、应用及未来发展趋势的详细分析
50etf期权行权采用什么交割方式 ?
qiquanjiang的博客
08-06 442
的行使日期是每个合约到期月份的第四个星期三,如果有假日则,顺延,行权指令提交时间为9:15-9:25,9:30-11:30,13:00-15:30.期权买方在行权日当天行权时间内在界面提交行权委托9,选定要执行行权操作的合约,输入行权数量并点击确定,即可完成行权。4.50ETF期权为欧式期权,只能在行权日(同时也是最后交易日,即合约到期月份的第四个星期三,遇到法定节假日顺延)提交行权,行权指令申报时间为行权日上午9点30到11点30,下午13点到15点30。,只要期权是实值,那我们就可以选择行权.
期权持仓限额是多少?怎么能多分仓?
qiquandong的博客
08-06 450
今天带你了解期权持仓限额是多少?怎么能多分仓?限仓是限制持有期权合约的规模,规定投资者可以持有的、按单边计算的某一标的所有合约持仓(含备兑开仓)的最大数量。
RGB++是什么;UTXO是什么;Nervos网络;CKB区块链
ZJQ的博客
08-05 287
RGB++是什么;UTXO是什么;Nervos网络;CKB区块链
区块链+医疗健康】基于区块链的商业保险结算与审核支撑服务 | FISCO BCOS应用案例
FISCO_BCOS的博客
08-06 340
基于区块链的商业保险结算与审核支撑服务的使用、推广和普及,对于未来完善商业医疗保险,推进保险行业变 革具有多重意义。
区块链+社会公益】第一反应互助急救链 | FISCO BCOS应用案例
最新发布
FISCO_BCOS的博客
08-09 130
第一反应互助急救链将现有业务体系和系统与 FISCO BCOS 的区块链底层技术相结合,使得公益行为及其证据、 积分、奖励过程以区块链的方式进行记录,确保公正、透明、不可篡改。
区块链+医疗健康】区块链 + 个人影像云 | FISCO BCOS应用案例
FISCO_BCOS的博客
08-06 262
个人影像云应用基于 FISCO BCOS 区块链底层平台、实体身份标识及可信数据交换开源解决方案WeIdentity,实现医疗影像数据在医院间可信流转和安全传输。
关于区块链的公共医疗应用开发
2401_84837659的博客
08-08 1011
目录:/root/xuperchain/ 在区块链网络目录下执行make命令,编译网络,编译成功后输出compile done!启动区块链网络。
用户为何选择在线支付功能:三大核心驱动力解析
masky0011的博客
08-06 393
综上所述,担保功能与互信关系的建立、清分功能与复杂交易的简化以及三流合一与内部流程优化是用户选择在线支付功能的三大核心驱动力。这些驱动力不仅提升了交易的安全性和效率性,还推动了电商生态的繁荣与发展。随着技术的不断进步和市场的不断变化,在线支付功能将继续发挥其独特优势,为更多用户带来便捷、高效的支付体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值