Cointime

Cointime

Uygulamayı indirmek için QR kodu tarayın
iOS & Android

Slow Mist: UwU Lend Hacked Analizi

Validated Project

Yazan: Doris@SlowMist Güvenlik Ekibi

arka plan

SlowMist MistEye güvenlik izleme sisteminin izlemesine göre, 10 Haziran 2024'te EVM zincirinde dijital varlık kredilendirme hizmetleri sağlayan bir platform olan UwU Lend saldırıya uğradı ve bunun sonucunda yaklaşık 19,3 milyon ABD doları zarar oluştu. SlowMist güvenlik ekibi olayı analiz etti ve sonuçları şu şekilde paylaştı:

https://x.com/SlowMist_Team/status/1800181916857155761

İlgili bilgi

Saldırganın adresi:

0x841ddf093f5188989fa1524e7b893de64b421f47

Savunmasız sözleşme adresi:

0x9bc6333081266e55d88942e277fc809b485698b9 saldırı işlemi: 0xca1bbf3b320662c89232006f1ec6624b56242850f07e0f1dadbe4f69ba0d6ac3

0xb3f067618ce54bc26a960b660cfc28f9ea0315e2e9a1a855ede1508eb4017376

0x242a0fb4fde9de0dc2fd42e8db743cbc197ffa2bf6a036ba0bba303df296408b

Çekirdeğe saldırın

Bu saldırının temel noktası, saldırganın CurveFinance havuzunda büyük miktarda takas gerçekleştirerek, sUSDE tokeninin fiyatını etkileyerek ve manipüle edilmiş fiyatı havuzdaki diğer varlıkları tahliye etmek için kullanarak fiyat kahinini doğrudan manipüle edebilmesidir.

Saldırı süreci

1. Flaş krediler varlıkları ödünç alır ve USDE fiyatını düşürür: Saldırgan ilk önce flaş krediler yoluyla büyük miktarda varlık borç alır ve ödünç alınan USDE tokenlerinin bir kısmını Eğri havuzundaki sUSDE fiyatını etkileyebilecek diğer tokenlarla değiştirir.

2. Büyük miktarda borç verme pozisyonu oluşturun: Mevcut sUSDE fiyat düşüşü altında, diğer temel tokenları yatırarak büyük miktarda sUSDE tokenlarını ödünç verin.

3. SUSDE'nin fiyatını artırmak için kehaneti yeniden manipüle edin: Önceki Eğri havuzunda ters döviz işlemleri gerçekleştirilerek sUSDE'nin fiyatı hızla arttı.

4. Yükümlülük pozisyonlarının büyük ölçekli tasfiyesi: sUSDE'nin fiyatı hızla arttığından, saldırganlar uWETH elde etmek için önceden ödünç alınan pozisyonları büyük miktarlarda tasfiye edebilir.

5. Kalan sUSDE'yi yatırın ve sözleşmedeki diğer temel tokenleri ödünç verin: Saldırgan, kâr amacıyla daha fazla temel varlık tokeni ödünç vermek için halihazırda yüksek fiyatlı olan sUSDE'yi yeniden yatırır.

Saldırganın esas olarak sUSDE fiyatını tekrar tekrar manipüle ettiğini, fiyat düşük olduğunda büyük miktarda borç aldığını, fiyat yüksek olduğunda ise kâr elde etmek için tasfiye edip yeniden ipotek ettiğini görmek zor değil. SUSDE'nin fiyatını hesaplayan sUSDePriceProviderBUniCatch oracle sözleşmesinin takibini yapıyoruz:

Saldırganın esas olarak sUSDE fiyatını tekrar tekrar manipüle ettiğini, fiyat düşük olduğunda büyük miktarda borç aldığını, fiyat yüksek olduğunda ise kâr elde etmek için tasfiye edip yeniden ipotek ettiğini görmek zor değil. SUSDE'nin fiyatını hesaplayan sUSDePriceProviderBUniCatch oracle sözleşmesinin takibini yapıyoruz:

sUSDE fiyatının, öncelikle CurveFinance üzerindeki USDE havuzu ve UNI V3 havuzundan 11 adet USDE tokeninin farklı fiyatlarının elde edilmesi ve daha sonra bu fiyatlara göre medyanın sıralanıp hesaplanmasıyla belirlendiği görülmektedir.

Buradaki hesaplama mantığında, Curve havuzunun gerçek zamanlı spot fiyatının elde edilmesi için get_p fonksiyonu kullanılarak doğrudan 5 USDE fiyatları elde edilmektedir. Bu, saldırganın tek bir işlem içerisinde büyük tutarlarda takas yaparak medyan fiyatı doğrudan etkilemesine olanak sağlamaktadır. Sayı hesaplama sonuçları.

MistTrack Analizi

Zincir üstü izleme aracı MistTrack'in analizine göre, saldırgan 0x841ddf093f5188989fa1524e7b893de64b421f47, ETH, crvUSD, bLUSD ve USDC para birimleri de dahil olmak üzere bu saldırıdan yaklaşık 19,3 milyon ABD doları kar elde etti. ERC-20 tokenleri daha sonra ETH ile değiştirildi.

Saldırganın adresinin işlem ücretleri takip edilerek adresteki ilk fonun Tornado Cash'ten aktarılan 0,98 ETH'den geldiği tespit edildi. Daha sonra adrese Tornado Cash'ten de 5 fon aktarıldı.

İşlem haritası genişletildiğinde saldırganın 1.292.98 ETH'yi 0x48d7c1dd4214b41eda3301bca434348f8d1c5eb6 adresine aktardığı, adresin mevcut bakiyesinin ise 1.282.98 ETH olduğu; saldırganın kalan 4.000 ETH'yi 0x050c7e9c62bf991 adresine aktardığı görüldü. 841827f377 45ddadb563feb70, bu adresin güncel bakiyesi 4.010 ETH.

MistTrack ilgili adresi bloke etti ve çalınan fonların transferini izlemeye devam edecek.

Özetle

Bu saldırının özü, saldırganın, spot anlık fiyatı ve hesaplanan medyan fiyatı doğrudan elde etmek için fiyat oracle'ının uyumluluk kusurunu kullanarak sUSDE fiyatını manipüle etmesi ve böylece elde etmek için ciddi fiyat farklılıklarının etkisi altında borç verme ve tasfiye gerçekleştirmesidir. beklenmedik kazançlar. SlowMist güvenlik ekibi, proje ekibinin fiyat oracle'ının manipülasyon karşıtı yeteneklerini geliştirmesini ve benzer olayların tekrar yaşanmasını önlemek için daha güvenli bir oracle fiyat besleme mekanizması tasarlamasını tavsiye ediyor.

Yorumlar

Tüm Yorumlar

Önerilen okuma

  • Musk, X'in X Payments hizmetinde havale işlevini başlatmaya hazırlandığını doğruladı

    24 Kasım tarihli habere göre Elon Musk, podcast devi Joe Rogan'ın profilinde dolar işareti simgesinin gösterildiği bir sosyal medya gönderisine yanıt olarak X'in, X Payments hizmetinde bir havale özelliği başlatmaya hazırlandığını doğruladı. Bu özellik, Musk'ın X'i WeChat benzeri bir "her şey için uygulama"ya dönüştürme stratejisinin bir parçası. X Payments LLC, çoğu ABD eyaletinde (New York Eyaleti hariç) para transferi lisansları alarak ödeme hizmetlerinin platforma entegrasyonunun temelini attı. Planlanan eşler arası ticaret özelliği, platform içerisinde doğrudan para transferlerini mümkün kılarak kullanıcı katılımını artırmayı amaçlıyor. Potansiyel kripto varlık entegrasyonuna ilişkin ayrıntılar henüz doğrulanmamış olsa da, Musk'un Dogecoin'e devam eden desteği göz önüne alındığında, toplulukta kripto para biriminin dahil edilmesinin beklendiğine dair spekülasyonlar var. Daha önce eylül ayında Musk'un yüzde yüz iştiraki olan X Payments'ın Oklahoma eyaletinden para transferi lisansı aldığı bildirilmişti. Şu ana kadar Amerika Birleşik Devletleri'nde 37 eyaletten para transferi lisansı aldığı bildirilmişti. X Payments'ın Amerika Birleşik Devletleri'ndeki 50 eyaletin tamamında lisans almayı hedeflediği ve bu yılın sonlarında Amerika Birleşik Devletleri genelinde ödeme hizmetlerini başlatmayı umduğu bildirildi.

  • Robinhood Baş Hukuk Sorumlusu Dan Gallagher, SEC Başkanı Olarak Görev Yapmayacağını Açıkladı

    Piyasa haberlerine göre, Robinhood Baş Hukuk Sorumlusu Dan Gallagher, ABD Menkul Kıymetler ve Borsa Komisyonu'nun başkanlığını yapmayacağını söyledi.

  • Kripto para biriminin siyasi eğilimleri: Trump'ın seçilmesi son boğa koşusunu tetikledi

    Bitcoin'in 100.000 doları hedeflemesi ve "Fıstık Sincabı"nın %3.000'lik kazançla manşetlere çıkmasıyla kripto para birimleri bu tatil sezonunda geri dönüş yaptı. Aile üyeleri Bitcoin'i, memecoin'leri ve "şu Elon Twitter saçmalığını" tartışacak ve siz, belirlenmiş "kripto para birimi uzmanı" olarak ortalama bir insanın kalbini kazanmak için konuşacak bir şeye ihtiyacınız var. Kripto para özgürlükçü bir çılgınlıktır. Trump 'Kripto Çarı'nı Düşünüyor, Bitcoin Yeni Zirvelere Ulaşıyor, Blackstone IBIT Opsiyon Lansmanı, Bitcoin'in Programlanabilirliği Yeniden Canlanıyor, Trump SEC Başkanı için Kripto Para Avukatı Olarak Düşünüyor, Ticaret Bakanı olarak Howard Lutnick'i Seçiyor. Trump'ın seçilmesi ve zaferi, çoğu kişinin artık MAGA ve Elon'un D.O.G.E aldatmacasının en kötü aşırılıkları ile ilişkilendirdiği en son kripto para birimi boğa koşusunu ateşledi. Sol eğilimli akrabalarınızın yeni Cumhuriyetçi yönetimin kripto para birimlerini bu kadar güçlü bir şekilde desteklediğini görmesinin sizin durumunuza bir faydası olmaz. Kuzeniniz Bitcoin'i kırmızı ve turuncuyla ilişkilendirildiği için satın almıyorsa gerçeklere dönün.

  • Kosinüs: Bir kullanıcı arka kapılı kod kullanarak bir bot yazmak için GPT'yi kullandıktan sonra, özel anahtar bir kimlik avı web sitesine gönderildi.

    Slow Mist Cosine tarafından yayınlanan bir makaleye göre. Cosine, GPT/Claude gibi LLM'leri kullanırken bu LLM'lerdeki yaygın aldatmacaya dikkat etmemiz gerektiğini hatırlatıyor. Daha önce AI zehirlenme saldırılarından bahsetmiştik ve şimdi bu, Crypto endüstrisine yönelik gerçek bir saldırı vakasıdır.

  • American Blockchain Association, Trump yönetimine kripto düzenleme önerileri sundu

    Amerikan Blockchain Derneği Önceliklerini duyurdu. Temel içerikler şunları içerir: bir kripto para birimi düzenleme çerçevesi oluşturmak, kripto para birimi ve blockchain teknolojisi şirketlerinin banka işlemlerinin sona erdirilmesi, yeni bir SEC başkanı atamak ve SAB121'i iptal etmek, Hazine Bakanlığı ve IRS için yeni liderlik atamak ve birlikte çalışarak bir kripto para birimi danışma komitesi oluşturmak. Kongre ve federal düzenleyiciler.

  • ABD Yüksek Mahkemesi, Facebook'un hissedar menkul kıymet dolandırıcılığı davasını önleme girişimini reddetti

    ABD Yüksek Mahkemesi, META'nın sahibi olduğu Facebook'un hissedar menkul kıymet dolandırıcılığı davasından kaçınmaya çalıştığı davayı reddetti.

  • Amerika Birleşik Devletleri'nde Kasım ayında son bir yıllık enflasyon oranının, beklenen %2,7 ve önceki değer olan %2,60'a kıyasla %2,6 olması bekleniyor.

    Amerika Birleşik Devletleri'nde Kasım ayındaki son bir yıllık enflasyon oranının, beklenen %2,7 ve önceki değer olan %2,60'a kıyasla %2,6 olması bekleniyor. Beş ila on yıllık ABD enflasyon oranının Kasım ayındaki nihai beklenen değeri, beklenen %3,1 ve önceki değer olan %3,10'a kıyasla %3,2 oldu.

  • Tahmin piyasası platformu Polymarket, düzenleyici soruşturma nedeniyle Fransız kullanıcılarına erişimi askıya aldı

    Merkezi olmayan tahmin piyasası platformu Polymarket, Fransız kullanıcıların platformuna erişimini askıya aldığını duyurdu. Hareket, Fransa Ulusal Kumar Otoritesi'nin (ANJ) platforma yönelik bir kumar uyumluluğu soruşturması başlatmasından haftalar sonra geldi. Soruşturmanın, platformda Trump'ın 2024 ABD başkanlık seçimlerinde zaferi üzerine büyük bir bahis oynayan Fransız bir tüccardan kaynaklandığı aktarılıyor. Polymarket bir IP yasağı uygulamış olsa da, Fransız kripto para haber sitesi The Big Whale, kullanıcıların platforma hala bir VPN aracılığıyla erişebileceklerini bildirdi. Basın tarihi itibarıyla Polymarket Hizmet Koşulları ilgili kısıtlamaları güncellememiştir.

  • İngiltere, 2025'in başlarında kripto para birimi ve stablecoin düzenlemelerini açıklayacak

    Birleşik Krallık İşçi Partisi hükümeti, düzenlemeyi basitleştirmeyi ve stabilcoinler ve staking gibi önemli alanları ele almayı amaçlayan kapsamlı bir kripto para birimi düzenleme çerçevesini 2025'in başlarında açıklayacak. İngiltere, sektörü düzenlemeye yönelik küresel yarışı yansıtan kripto para birimi çerçevesini gelecek yıl yayınlamayı planlıyor; Avrupa Birliği gibi diğer yetki alanları ise halihazırda inovasyon ve ekonomik fırsatları çekmek için stratejiler geliştiriyor. Birleşik Krallık hükümeti, 2025'in başlarında Londra Şehri'ndeki Küresel Tokenizasyon Zirvesi'nde kripto para birimi endüstrisi için birleşik bir düzenleyici çerçeve sunma planlarını açıkladı. Yeni çerçevenin bir parçası olarak, stabilcoinler artık Birleşik Krallık'ın mevcut ödeme hizmetleri kurallarına göre düzenlenmeyecek. Hükümet, bu düzenlemelerin mevcut kullanım durumları için uygun olmadığına inanıyor. Bu değişim, Birleşik Krallık'ın yaklaşımını, istikrar için genellikle ABD doları gibi varlıklara sabitlenen stablecoin'lerin gelişen doğasıyla uyumlu hale getirmeyi amaçlıyor.

  • Amazon, "OpenAI rakibi" Anthropic'e 4 milyar dolar daha yatırım yapacak

    Amazon ve Anthropic işbirliklerini derinleştiriyor ve birbirlerine 4 milyar ABD doları daha yatırım yapacak. Bu yılın eylül ayında yapay zeka girişimi Anthropic, 40 milyar dolara varan değerlemeyle yeni bir finansman turu arıyordu. Anthropic, 2021 yılında eski OpenAI yöneticileri tarafından kurulan ve açıklanabilir, güvenli ve kontrol edilebilir yapay zeka sistemleri oluşturmaya odaklanan bir şirkettir. Şirketin amiral gemisi yapay zeka modeli Claude, çıktısını yönlendirmek ve hatalı veya ayrımcı çıktıları önlemek için önceden tanımlanmış ilkeleri kullanan bir yapay zeka modeli olan "Anayasal Yapay Zeka" üzerinde çalışıyor.

Günlük Seçimler

Cointime
İçerikler
Şirket.