安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制

4月25日消息，Cobo区块链安全团队就Flurry Finance攻击事件进行了分析，发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同，而是利用了Flurry Finance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据（Bank中的token数量）。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵，进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用Rabbit Finance的StrategyLiquidate合约来执行任意代码的技巧，但这个技巧涉及到的合约代码本身其实并不存在安全问题。Cobo区块链安全团队提醒，开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。

此前消息，2月22日，BSC链上的Flurry Finance遭到闪电贷攻击，导致协议中Vault合约中价值数十万美元的资产被盗。

安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制本文于9/18/2022 7:48:05 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。

相关快讯：

安全团队：谨防多重签名假充值:据慢雾区情报，近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。

慢雾安全团队分析发现，攻击者通常使用 2-of-3 多签地址，其中 1 个地址为攻击者在交易所的充值地址（假设为 A），2 个地址为攻击者控制私钥的地址（假设为 B、C），然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易，此时攻击者在交易所的充值地址 A 虽然收到资金，但是由于花费这笔资金至少需要 2 个地址的签名，攻击者可利用自己控制的 B、C 地址将充值资金转出。

慢雾安全团队建议交易所，及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查，确保已对交易类型进行正确的判别，谨防多重签名假充值。[4/7/2022 3:06:38 AM]

安全团队：Ronin Network被盗资金中200枚ETH被转入Tornado Cash:4月4日消息，据PeckShield监测，Ronin Network被盗资金中1000枚ETH被转入另一个地址，随后200枚ETH转入Tornado Cash。

安全团队：Ronin Network被盗资金中200枚ETH被转入Tornado Cash本文于9/17/2022 11:34:44 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢安全团队：Ronin Network被盗资金中200枚ETH被转入Tornado Cash,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[4/4/2022 11:34:46 PM]

动态 | 慢雾安全团队剖析EOS 合约竞猜类游戏 FFgame 被攻击事件:据慢雾安全团队消息，针对 EOS 合约竞猜类游戏 FFgame 被攻击事件的剖析，慢雾安全团队通过与 FIBOS 创始人响马的交流及复测推测：攻击者通过部署攻击合约并且在合约中使用与 FFgame 相同算法计算随机数，产生随机数后立即在 inline_action 中使用随机数攻击合约，导致中奖结果被“预测”到，从而达到超高中奖率。该攻击者从第一次出现盗币就已经被慢雾监控账户变动，在今日凌晨（11.8 号）已经第一时间将威胁情报同步给相关交易所平台。

慢雾安全团队提醒类似开发者：不要引入可控或可预测随机数种子，任何侥幸都不应该存在。[11/8/2018 12:00:00 AM]

相关资讯