• 1m

    Cardano introduces Smash, a new open-source stake pool metadata aggregation server

    CryptoSlate
  • 12m

    Ledger Nano X Review

    UseTheBitcoin
  • 12m

    Blockchain Bites: Ethereum 2.0 Deposit Contract Fully Loaded, IRS Sends Befuddling Letters – Again

    coindesk.com
  • 19m

    Ripple’s Rise Short-Lived as XRP Holders Rush to Exchanges

    Crypto Briefing
  • 23m

    TRONADZ – The First Decentralized AdNetwork

    ZyCrypto
  • 23m

    Lithuania Made $7.6 Million From First Sale of Confiscated Cryptocurrencies

    Coinfomania
  • 27m

    Should you buy Bitcoin monthly or quarterly?

    AMBCrypto
  • 30m

    Binance is now blocking users ‘identified as a US person’ with a 14-day deadline 

    The Block
  • 35m

    EOS Bounces and Aims for a November Breakout

    be[in]crypto
  • 53m

    Litecoin price prediction: LTC to hit $94 again, analyst

    Cryptopolitan
  • 55m

    Ripple price prediction: XRP to retest $0.75, analyst

    Cryptopolitan
  • 56m

    Macro Guru Dan Tapiero Predicts $15 Trillion or More Will Flow Into Gold and Bitcoin

    The Daily Hodl
  • 56m

    XRP ODL indices see increased liquidity as asset surges

    AMBCrypto
  • 56m

    After rocky month, OKEx to reward users up to $1000

    AMBCrypto
  • 1h

    My Crypto Heroes announces issuance of MCH governance token

    AMBCrypto
  • 1h

    Why does Ethereum options OI hitting a new high matter, apart from the obvious

    AMBCrypto
  • 1h

    OKEx giving users up to $1,000 in reward program

    Coin Geek
  • 1h

    Craig Wright v Peter McCormack to proceed to trial despite McCormack abandoning defense

    Coin Geek
  • 1h

    Is the fear and greed index still relevant for Bitcoin?

    AMBCrypto
  • 1h

    Crypto Price Analysis: Ripple (XRP), Tron (TRX) , Tezos (XTZ), Stellar (XLM).

    Coinfomania
  • 1h

    Bitcoin Price Now Mere Moments Away From Setting A New All-Time High

    newsbtс
  • 1h

    First Mover: Why Is Bitcoin’s Price Rising? Here Are a Few Possible Answers

    coindesk.com
  • 1h

    DeFi’s first M&A deal? Yearn.Finance and Pickle Finance are set to merge

    The Block
  • 1h

    Разработчики 1inch запустят алгоритмы Mooniswap и Pathfinder на блокчейне NEAR

    forklog
  • 1h

    IOST Launches Trading Competition for Listing of Watermelon DeFi Token (XG) on BigOne

    btcmanager
  • 1h

    DeFi and Gold – Why the Biggest DeFi Projects Are Looking to Integrate Gold

    btcmanager
  • 1h

    Institutions Crowding Out Retail With Bullish Bitcoin Predictions

    Crypto Briefing
  • 1h

    Litecoin short-term Price Analysis: 24 November

    AMBCrypto
  • 2h

    My Crypto Heroes Announces Issuance of MCH Governance Token

    ZyCrypto
  • 2h

    Трейдер оценил вероятность достижения биткоином отметки $20 000

    forklog
  • 2h

    Coinbase cracks into the top 100 free apps on Apple’s store

    The Block
  • 2h

    OKEx анонсировала программу компенсаций после заморозки вывода средств

    forklog
  • 2h

    Generating crypto cash flow now a piece of cake

    AMBCrypto
  • 2h

    The Wall Street Journal разместил материал про биткойн на первой странице

    BitNovosti
  • 2h

    Ethereum Spikes To 2.5 Year Highs As Altcoins Benefit From Bitcoin’s Recent Ascent

    ZyCrypto
  • 2h

    Chainlink, Dash, Compound Price Analysis: 24 November

    AMBCrypto
  • 2h

    CNBC Crypto Trader’s Ran Neuner Launches World’s First Streaming Crypto Call-in Station

    btcmanager
  • 2h

    The price of Ethereum may rise again: a prediction

    Cryptonomist
  • 2h

    Coinbase Temporarily Goes Down (Again) as XRP Prices Spike

    be[in]crypto
  • 1w

    DeFi-проект Cheese Bank потерял $3,3 млн в результате взлома

    forklog
Tue, Nov 17, 2020 8:52 AM by forklog

DeFi-проект Cheese Bank потерял $3,3 млн в результате взлома

Специалисты из PeckShield представили подробности взлома DeFi-проекта Cheese Bank 6 ноября, в результате которого злоумышленники вывели $3,3 млн в стейблкоинах USDC, USDT и DAI. Cheese Bank Incident: Root Cause Analysis https://t.co/pe2ccTqTgJ — PeckShield Inc. (@peckshield) November 16, 2020 Уязвимость содержалось в механизмах оценки стоимости обеспечения при помощи оракула автоматизированного маркетмейкера. «В ходе серии атак мы наблюдали, как злоумышленники использовали мгновенные займы для получения, обмена, депозита и повторного получения крупных сумм с целью манипулирования ценой отдельного токена на одной бирже», — пишут PeckShield. В ноябре этого года с подобными атаками столкнулись DeFi-проекты Akropolis и Value DeFi. Последовательность действий хакеров следующая: Злоумышленники получили мгновенный займ на 21 000 ETH при помощи платформы dYdX; Обменяли 50 ETH на 107 000 токенов CHEESE на UniswapV2; Добавили 107 000 CHEESE и необходимые 78 ETH в пул ликвидности на UniswapV2, взамен получив токены UNI_V2 LP; Выпустили токены sUSD_V2 на все полученные на предыдущем этапе токены UNI_V2 LP. Этот шаг позволил использовать UNI_V2 LP токены в качестве обеспечения для заимствования средств с Cheese Bank; Повысили цену нативного токена Cheese Bank на UniswapV2, обменяв 20 000 ETH на 288 000 CHEESE. Это привело к повышению стоимости обеспечения в виде токенов UNI_V2 LP. В PeckShield подчеркивают, что это ключевой момент, поскольку протокол использует количество WETH в пуле ликвидности для оценки цены соответствующего токена LP; Обновили ценовой поток оракула Cheese Bank; Вывели все активы Cheese Bank в USDC, USDT и DAI посредством функции заимствований. Перед этим хакеры «предусмотрительно» определили баланс протокола. Обменяли 288 000 CHEESE на 19 980 ETH на UniswapV2. Хакерам нужно было вернуть 21 000 ETH мгновенного займа обратно dYdX, что они сделали посредством 288 тысяч CHEESE; Обменяли 58 000 USDC на 132 ETH на UniswapV2 для пополнения запасов ETH, потраченных ранее на комиссии в UniswapV2. Перевели $3,3 млн в USDC, USDT и DAI на отдельный адрес (на момент написания его баланс составлял $453,75). Вернули мгновенный займ на 21 000 ETH на платформу dYdX. «Поскольку оракулы автоматизированных маркетмейкеров часто выступали целями в недавних атаках, мы предлагаем проявлять особую осторожность при обращении к ним как к ценам оракулов, так как ими можно легко манипулировать», — заключают специалисты. Напомним, в конце октября хакер вывел $19,8 млн с платформы Harvest Finance через манипуляцию курсами стейблкоинов в DeFi-протоколе Curve. Подписывайтесь на новости ForkLog в Facebook!

Read full