据慢雾安全团队情报,2022年12月14日,BSC链上的NimbusPlatform项目遭到攻击,攻击者获利约278枚BNB。
1.攻击者首先在8天前执行了一笔交易,把20枚BNB换成NBU_WBNB再换成GNIMB代币,然后把GNIMB代币转入Staking合约作质押,为攻击作准备
纽约金融服务部:接管Signature Bank与其加密业务无关:金色财经报道,纽约金融服务部(NYDFS)发言人表示,周日做出接管Signature Bank的决定与该银行的加密货币业务无关。此前美国前众议员Barney Frank批评了监管机构的决定,声称他们“想要传递加密货币有害的信息”。NYDFS一位发言人在一份声明中表示,接管该银行并将其移交给FDIC的决定是基于该银行目前的状况以及它是否有能力以安全和健康的方式开展业务。该发言人表示,他们正在与Signature Bank的高管合作,评估其财务状况、满足取款请求的能力以及是否能够继续正常运营。该银行没有提供“可靠和一致的数据,造成了对该行领导层的严重信任危机”。NYDFS表示,Signature是一家拥有更重要业务的银行,数字资产业务仅占该银行整体业务的一小部分。(The Block)[2023/3/15 13:04:29]
2.在8天后正式发起攻击交易,首先通过闪电贷借出75477枚BNB并换成NBU_WBNB,然后再用这些NBU_WBNB代币将池子里的绝大部分NIMB代币兑换出
纽约法官为加密投资应用程序Coinseed指派接管人,并可能要求其停止运营:纽约州最高法院法官AndrewBorrok指派Crowell&Moring区块链和数字资产全球负责人MichelleGitlitz接管未注册的加密投资应用程序Coinseed,并可能要求其停止运营。法官表示,因为该应用程序取消了客户对其账户的访问并减少了他们持有的价值。未经法院许可,Gitlitz不得聘请外部律师、会计师、评估师或其他服务提供商。[2021/6/6 23:15:57]
3.接着调用Staking合约的getReward函数进行奖励的提取,奖励的计算是和rate的值正相关的,而rate的值则取决于池子中NIMB代币和GNIMB代币的价格,由于NIMB代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多
纽约最高法院驳回了一项试图颠覆纽约州比特币法案的诉讼:根据最新的一份文件披露,纽约州最高法院批准了一项动议,驳回一个长达两年多的诉讼,该诉讼试图推翻针对加密货币技术方面的监管制度。前比特币企业家Theo Chino于2015年10月对纽约州金融服务局(NYDFS)2015年6月颁布的一项法规提起法律诉讼。该法规通常被称为“BitLicense”,要求居住在该州的比特币相关公司申请经营许可。Chino指责该机构利用其法律过度监管比特币行业,声称纽约州金融服务局所施限制超出其管理资格,并且执行成本很高,他还因此被迫关闭了自己的生意。法院在最初延期决定之后,驳回了他了诉讼。目前Chino已经向纽约州最高法院提出上诉。[2018/1/4]
4.攻击者最后将最后获得的GNIMB代币和拥有的NIMB代币换成NBU_WBNB代币后再换成BNB,归还闪电贷获利
此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。
参考攻击交易:https://bscscan.com/tx/0x42f56d3e86fb47e1edffa59222b33b73e7407d4b5bb05e23b83cb1771790f6c1
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。