Equipo de seguridad: Nereus Finance sufrió un ataque de préstamo rápido y el atacante obtuvo una ganancia de $370,000

[Equipo de seguridad: Nereus Finance sufrió un ataque de préstamo flash y el atacante obtuvo una ganancia de 370,000 dólares estadounidenses] Según noticias oficiales, el equipo de seguridad de HyperLab detectó que Nereus Finance, un proyecto en la cadena pública de nueva generación AVAX, sufrió un flash ataque de préstamo

La dirección del contrato del atacante es: 0x16b94C6358FE622241d055811d829281836E49d6

La dirección de la transacción de ataque es: 0x0ab12913f9232b27b0664cd2d50e482ad6aa896aeb811b53081712f42d54c026

El atacante obtuvo una ganancia de alrededor de 370 000 USDC mediante el uso del clásico modo de ataque de préstamo flash, es decir, préstamo flash -> reserva sesgada -> precio de token LP falso -> reembolso del préstamo flash.

El ataque fue investigado por @0xEdwardo, un clon no autorizado del código Abracadabra mantenido por Nereus Finance. El equipo de seguridad de HyperLab dará seguimiento a la dinámica de este incidente en tiempo real y continuará reportando análisis de seguimiento.

Otras noticias:

Equipo de seguridad: el precio de los tokens del proyecto Dollar cayó más del 90%: Jinse Finance News, según el monitoreo de CertiK, el precio de los tokens del proyecto Dollar cayó más del 90%. Sus implementadores de proyectos han movido $382,000 de fondos de liquidez.

Dirección BSC: 0x781163f0110b69DcBb2289339E3Ea16D040966D5, Nota: No confunda el token de dólar con otros proyectos con el mismo nombre. [2022/9/27 22:34:08]

Equipo de seguridad: El incidente del ataque Flurry Finance usó el mecanismo de rebase de los tokens RhoToken: El 25 de abril, el equipo de seguridad de la cadena de bloques de Cobo analizó el incidente del ataque Flurry Finance y descubrió que este ataque es similar a la clásica máquina Oracle de manipulación de préstamos flash El método de ataque es diferente, pero utiliza el mecanismo de rebase de tokens RhoToken en Flurry Finance. La razón esencial de la vulnerabilidad es que la fórmula para calcular el multiplicador cuando el protocolo cambia la base de RhoToken se basa en datos controlables externamente (la cantidad de tokens en el banco). Como resultado, el atacante se dio cuenta de la manipulación del multiplicador a través del préstamo flash y luego obtuvo una ganancia. Aunque este ataque usó la técnica de forjar ERC20 para reescribir el método de aprobación y luego usar el contrato StrategyLiquidate de Rabbit Finance para ejecutar código arbitrario, el código del contrato involucrado en esta técnica en realidad no tiene problemas de seguridad. El equipo de seguridad de blockchain de Cobo recuerda que los desarrolladores deben prestar especial atención a si el contrato depende de algunos datos externos que pueden ser manipulados maliciosamente al calcular la cantidad y el precio de los activos. El modo de ataque típico del oráculo de manipulación de préstamos flash en realidad es causado por el cálculo de algunos indicadores clave en el proyecto que se basan en el precio de los tokens en el grupo DEX.

Según noticias anteriores, el 22 de febrero, Flurry Finance en la cadena BSC fue atacada por un préstamo relámpago, lo que resultó en el robo de activos por valor de cientos de miles de dólares en el contrato Vault del acuerdo. [2022/4/25 14:46:47]

Equipo de seguridad: los atacantes de Beanstalk Farms transfirieron $ 250,000 USDC a la dirección de donación de cifrado de Ucrania: el 17 de abril, según el monitoreo de Paidun, el proyecto de moneda estable Beanstalk Farms fue atacado, y luego se recuperó USDC por valor de $ 250,000 del ataque La dirección de la billetera del destinatario se transfiere al Dirección de donación encriptada de Ucrania. [2022/4/18 14:30:09]