您现在的位置是:主页 > TP钱包下载 >
tp钱包下载|Onyx Protocol 骇客赚太多!竟给三名「加密乞丐」打赏23.9枚ETH
2023-11-03 11:30TP钱包下载 人已围观
简介Onyx Protocol 昨日因安全漏洞—四捨五入问题(rounding issue)遭受攻击,造成超过 1,160 枚 ETH(相当于 210 万美元)的资金损失。团队表示立即封锁了该漏洞,并确认了未影响到与 XCN 代币相...
Onyx Protocol 昨日因安全漏洞—四捨五入问题(rounding issue)遭受攻击,造成超过 1,160 枚 ETH(相当于 210 万美元)的资金损失。团队表示立即封锁了该漏洞,并确认了未影响到与 XCN 代币相关的链上资产,最新消息公布其正在制定补偿计画,将提案动用 Onyx DAO 价值 4000 万美元的 XCN 代币资金池,以保障受骇客攻击影响的用户获得相应的赔偿。值得一提的是,经链上数据分析发现,攻击者向三名「乞讨者」送出了共 23.9 枚 ETH。 (背景补充:今年最大窃案!Euler奇蹟收回2亿镁,19岁骇客的魔鬼与天使 )
本文目录
- 骇客攻击手法
- 团队表示安全无虞与补偿计画
- 送「乞讨者」23.9 枚 ETH
去中心化借贷协议 Onyx Protocol 昨(1)日遭受攻击,被窃取 1164.5 枚 ETH,等值约 210 万美元。根据区块链安全公司 PeckShield 调查指出,这次的攻击利用的是一个已知的漏洞,即四捨五入问题(rounding issue)。
骇客攻击手法
「四捨五入问题」指的是在区块链借贷协议的实作中,由于固定位数限制,可能会导致资产计算上的小数点后的数值在某些操作中被不恰当地四捨五入,这可能会在计算利息或者交易分割时造成微小的资金损失或增益。在複杂的金融交易中,这种看似微不足道的问题将会被累积起来造成重大影响,如同这次 Onyx Protocol 损失的 210 万美元。
The @OnyxProtocol hack leads to ~$2.1M loss by exploiting a known rounding issue behind the popular CompoundV2 fork.
Basically, the exploited oPEPE market was deployed 5 days ago without any liquidity. This empty market was abused with donation to borrow funds from other… https://t.co/ijkXbOyYr2 pic.twitter.com/fbHdZhTz0E
— PeckShield Inc. (@peckshield) November 1, 2023
具体来说,骇客攻击的方式如下:
简而言之,这次攻击利用了一个故意留空的市场,透过捐赠资金创造了借款的假象,并透过四捨五入的漏洞来盗取更多的资金。
团队表示安全无虞与补偿计画
攻击发生后,Onyx 协议团队表示他们已经掌握了事态发展,立即封锁了该漏洞,并确认了这次的漏洞并未影响到 XCN 代币及其合约、XCN 的质押池,以及 Uniswap 上的交易池,这些部分都是安全的。
最新进展公布了 Onyx 协议团队正在制定补偿计画,他们将提案动用 Onyx DAO 价值 4000 万美元的 XCN 代币资金池,从该资金池中出售 XCN 代币,用于直接赔偿受骇客攻击影响的用户。
The @OnyxProtocol experienced an exploit: https://t.co/4feaaEipfF. Fund loss is 1,163.53 ETH ~$2.1mln.We are aware of the situation, closed the vulnerability, and working on the consequences with our partners.
— Alex Onyx (@al_onyxprotocol) November 1, 2023
送「乞讨者」23.9 枚 ETH
经可视化金流分析平台 MetaSleuth 追蹤骇客地址发现,攻击者随后将资金转移至另一个地址(开头 0x4c),并将大部分的资金转移到混币协议 Tornado Cash,为了隐藏其资金流向。
Source:可视化金流分析平台 MetaSleuth值得注意的是,约剩余 23.9 枚 ETH 攻击者分发至 3 个地址:
- 地址开头 0xae 用户得到 6.5 枚 ETH
- 地址开头 0xae 用户得到 13 枚 ETH
- 地址开头 0xae 用户得到 4.4 枚 ETH
经链上纪录分析发现,这三位用户均向攻击者发出请求,希望获得一些以太币,形同在链上用文字乞讨的加密乞丐。而在收到以太币后,他们对攻击者表示了深深的感激之情,具体的用户与攻击者之间的链上互动如下所示:
0xae 与攻击者对话纪录。Source:Etherscan 0x1b(域名 needcomeback.eth)与攻击者对话纪录。Source:Etherscan虽然向攻击者发送资金请求是过去也曾发生的事情,不过也因为链上记录公开透明,若用户真实身分被追蹤到,也不排除 Onyx 团队会追究责任并要求归还资金。
延伸阅读:史上最大!Poly Network「遭骇6亿美元」波及以太 币安…群众却教骇客洗钱换打赏?
相关文章
随机图文
-
TokenPocket冷钱包APP|共享MetaMask小狐狸钱包
共享MetaMask小狐狸钱包、TP钱包、雪崩钱包 1.如果你有小狐狸,将私钥导出 AVA... -
tp钱包最新版本官方下载|TP钱包基础知识
TP钱包官网:www.tokenpocket.pro OKExChain测试使用教程 一、首先打开TP钱包。 二、点... -
TokenPocket钱包下载|TP钱包使用教程(下载
TP钱包使用教程 一、钱包如何下载 1、打开TP钱包官网www.tokenpocket.pro选择手机下... -
tp钱包官网下载最新版本|Web3日报|Multi
精选要闻: 1. 新火科技研究员:Multichain 或已失去 MPC 多签控制权,攻击者并非...