成都链安:损失近2070万美元 防不胜防?Popsicle Finance被攻击事件全解析
8月4日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,跨链收益率提升平台Popsicle Finance下Sorbetto Fragola产品遭到攻击,导致了约2070万美元的损失,攻击者共获利2.6K WETH,5.4M USDC,5M USDT,160K DAI,10K UNI,和96 WBTC。事件概览攻击如何发生 Event overview首先,跟我们了解一下Popsicle Finance是什么?这是一个很有意思的项目,主要做跨链流动性挖矿。在DeFi 大热的时候,大家都在找流动性挖矿的机会,希望让自己的资产收益最大化。但因以太坊主网 gas 费用居高不下,给了二层、侧链、其他区块链迅速发展壮大的机会。在多链时代下,Popsicle Finance就在这样的背景下诞生了。在遭到黑客攻击后,Popsicle Finance团队成员立即发推表示,目前仅有 Sorbetto Fragola 一款产品受到影响。团队将在几周内修复漏洞并对用户损失进行赔偿。事件具体分析攻击者如何得手 Event overview攻击者地址:0xf9E3D08196F76f5078882d98941b71C0884BEa52攻击合约:A:0xdfb6fab7f4bc9512d5620e679e90d1c91c4eade6B:0x576Cf5f8BA98E1643A2c93103881D8356C3550cFC:0xd282f740Bb0FF5d9e0A861dF024fcBd3c0bD0dc8攻击交易:0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc攻击者使用相同的攻击方式获利了多种代币,以下以USDT为例分析:Round 1攻击者使用合约A通过闪电贷获取USDT和ETH。Round 2通过合约A调用SorbettoFragola的deposit函数获取凭证代币PLP。Round 3将PLP发送给合约B并执行SorbettoFragola的collectFee函数,这时输入的amount均为0,更新合约B的奖励参数。之后将PLP发送到合约C,进行同样的操作。合约C完成操作后将PLP发送回合约A。因为合约B、C持币,所以会计算更新其奖励(不随代币转移清空),更新后的数值如下图所示:Round 4合约A执行SorbettoFragola的withdraw函数,销毁PLP代币。取出本金后更新相关参数为最新。Round 5接着合约B与合约C再度执行collectfee函数。输入的amount为上面更新后的数值tokenReward。这时因为满足此处条件,所以会到pool地址(UNIV3的对应交易对地址)去移除流动性,并将代币发送给合约B、C。Round 6合约C再次调用collectfee函数获利。此时amount如下图所示:最后,满足调用pay函数的条件,通过pay函数向合约C发送代币。事件复盘我们需要注意什么 Case ReviewPopsicle Finance最初管理的是跨链流动性,于6月26日推出Sorbetto Fragola以管理Uniswap v3流动性。项目方应该也没有预料到,黑客会在今日进行攻击,导致了约2070万美元的损失。可见,安全预判是多么重要。注意成都链安在此建议,对于项目方而言,在PLP转移时,应该重新计算并更新PLP发送方与接收方的奖励值,避免奖励重复发放。此外,项目的逻辑缺陷一定要得到重视。

跨链开放式货币市场 Omm Finance 将于 8 月 31 日开始接受 OMM 代币社区空投申请
链闻消息,跨链开放式货币市场 Omm Finance 将于 8 月 31 日开始接受 OMM 代币社区空投申请,并持续至 9 月 25 日。本次总计将空投共 100 万枚 OMM 代币,四类用户可进行申请,其中 Balanced 流动性提供者、活跃投票人、Aave 和 Compound 使用者每个地址 100 枚 OMM 代币,而 Omm 社区成员每个地址 400 枚 OMM 代币。具体资格方面,Balanced 流动性提供者需在 7 月 31 日前在 Balanced 提供过流动性,活跃投票人需要参与过 Balanced (BIP1,?BIP2)或 ICONbet (2021)的治理,Aave 和 Compound 使用者需要在 7 月 31 日前使用过 Aave 和 Compound (仅 1600 个名额),Omm 社区成员需要在北京时间 8 月 19 日 13:00 前在测试网上使用 Omm 测试网或填写过 Omm 的 Discord 表单。?OMM 代币为 Omm Finance 的治理代币,代币持有者可通过质押 OMM 对协议提案进行投票。

BunnyPark 官方启动回购计划,未来每周都将回购不低于 50 万美元的 BP 并销毁
链闻消息,BSC 上的 GameFi 与 NFT 孵化平台 BunnyPark 宣布开启官方回购计划,首批 1 万枚 BNB 将用于在四周内回购 BP 代币并销毁,随后团队仍将使用自有资金每周进行 50 万至 100 万 USDT 的 BP 回购与销毁(不低于 50 万)。

美 SEC 前高管 Brett Redfearn 在 Coinbase 任职四个月后离职
链闻消息,据 The Block 报道,Coinbase 产品和资本市场副总裁 Brett Redfearn 已于 7 月离职,加入 Coinbase 之前,Brett Redfearn 曾担任美国证券交易委员会(SEC)交易和市场部门主管一职。据消息人士透露,Brett Redfearn 是在 Coinbase 决定将「优先级从数字资产证券转移」后选择离开,官方称目前 Coinbase 优先考虑发展 DeFi。链闻此前报道,今年 3 月份 Coinbase 宣布聘请 Brett Redfearn 担任其产品和资本市场副总裁(VP of Product,Capital Markets),Brett Redfearn 在金融服务领域拥有 25 年以上的经验,此前担任 SEC 交易和市场部门主管,还曾在摩根大通和贝尔斯登担任高级交易职位。

Proudly powered by WordPress © 币安交易所平台_binance官方网站_币安交易中心 2021 | Theme: Conj Lite by MyPreview.