[新闻] BSC上Value DEFI连续被骇 损失千万镁

楼主: hn880265 ( )   2021-05-09 01:58:51
https://imgur.com/lCmb0y2
有人数下有多少镁?这交易量能买下太阳系吧XDDD
新闻来源连结:
https://www.rekt.news/value-rekt3/
https://www.chainnews.com/projects/value-defi.htm
一个星期内两次。
Value DEFI是个撞毁火车头。
六个月前他们损失了700万美元。三天前,他们损失了1000万美元。
现在他们又损失了1100万美元。
残酷的,野蛮的,反击的。
这位 "联合创始人 "是一位受雇的女演员扮演,代码被复制并使用得不正确,结果,Value
DeFi已经被绝对拿下。
这是第三次也是最后一次,还是猿人将继续原谅和忘记?
Value DeFi出了什么问题?
大约有1100万美元从vSwap AMM的vSwap池中被盗。
该事件是由于在计算和执行加权常数乘积不变性的背后,不适当地使用了复杂的指数化
power()函数。
任何没有在资产之间50/50分割流动性的池子都被利用了。
由于Uniswap只支持资产比例为50/50的资金池,Value DeFi对其非标准资金池使用Bancor
公式。
参考交易。0x2fd0aaf0bad8e81d28d0ee6e4f4b5cbba693d7d0d063d1662653cdd2a135c2de
1. 首先,攻击者向配对地址发送少量的第二个令牌
2. 然后他们进行交换,他们想提取少量的第一代币和大量的第二代币。
3. 由于对Bancor公式的不正确使用,成对的合同认为交换是成功的。(利用的根源)
被盗的资金。
15k BNB
2.7k FARM
1.7k BASv2
8.5M BDO
68.3k BUSD
41.4k MDG
945k VBOND
1.2M BAC
11K FIRO
信用:Frankresearcher
注意power()例程需要四个参数(baseN、baseD、expN和expD),用于计算(baseN/baseD
)^(expN/expD)*(2^precision)的整数近似值,其中精度用于计算结果。然而,在如
何使用这个power()函数方面有一个注意事项。它做了一个明确的假设:baseN必须不小于
baseD,即baseN>=baseD。在这次攻击中,水池的swap()函数被调用,它的输入经过精心
设计,故意违反了上述假设。结果,加权常数乘积的执行被传递,而池子里的资金被抽走

信用: peckshield
尽管在我们的排行榜上取得了第三名的成绩,但自最新的漏洞以来,Value DeFi的原生代
币已经恢复了一些。然而,南森告诉我们,DEX的交易量一直在持续下降。
另一个重塑品牌能否拯救这个被黑客攻击最多的协议,使其不至于失去所有的用户,或者
这就是Value DeFi的结局?
Value DeFi团队在最新的漏洞发生前几个小时还在向用户保证他们平台的安全,在推特上
说增加了安全措施,但显然这些措施的影响为零。
展望未来,很难看到有人会相信这些匿名的开发者,他们承认使用fiverr上的一个付费女
演员来扮演他们的创始人,当他们被一个用户质问时,他们的回答类似于。
我们在该视频中作为联合创始人的女孩实际上只是一个付费的女演员,但我们的一个开发
人员碰巧用了这个网上的化名,所以后来我们巧合地在Fiverr上找到了一个同名的女演员
,在我们的视频中出现!"。
对于最不安全的DeFi协议Value DeFi的用户来说,猿人税很高。谁能对这种公然的低质量
项目的用户有任何同情心?
我们非常感谢Value DeFi在最近几个月给我们带来的所有新读者,但希望这将是最后一次

虽然我们嘲笑创始人的反复失败,但这些被盗的资金不是他们的。如果他们计划继续运营
,那么他们将不得不更加努力。
与其关注虚假通信,不如关注真正的用户安全,而不是堆积毫无价值的安全审计。
或者,也许是时候叫停了,不再将用户的资金置于风险之中。
Value DeFi能够安全地关闭他们的业务,还是我们很快就会看到最后的退出骗局?
通过www.DeepL.com/Translator(免费版)翻译
评论:
前几天被骇客攻击损失6M 这次玩更大了喷掉1xM
平台总TVL原本快1B 现在24H TVL-85%剩116M
项目币vBSWAP $1700崩到$170
菜鸡我也差点当苦主了 DEFI真危险..
希望BUNNY BELT ELLIPSIS AUTOFARM别有事
看不懂代码(话说这家都通过安全审计也照样被骇) 只能照TVL/APY去评估分散风险了
还有看到匿名团队+正妹创始人要闪远点..
作者: ECZEMA (加油!)   2021-05-09 02:04:00
自己掏空自己说是骇客偷的… 不是无能就是坏 自己选吧!
作者: sam123343 (路西安)   2021-05-09 03:16:00
是本身有漏洞..才被洗光吧
作者: boogieman (Let the Right One In)   2021-05-09 08:13:00
闪电贷真的要好好重新检视一下 漏洞太大了
作者: decoy (小丑)   2021-05-09 09:10:00
Uranium Finance 和 Raricapital 也有中 诡异的是code应该不是抄的部分出事 而是自己改的部分有问题 结果三家中
作者: steveck (人帅真好= =)   2021-05-09 09:28:00
抄code时把原本的bug原封不动抄过来不是很常见吗 XD

Links booklink

Contact Us: admin [ a t ] ucptt.com