By: Sissice
2024 年 4 月 24 日,据慢雾安全团队情报,BSC 链上的 YIEDL 项目遭攻击,攻击者获利约 30 万美元。慢雾安全团队对该攻击事件展开分析并将结果分享如下:
(https://twitter.com/SlowMist_Team/status/1782962346039898473)
攻击者地址:
0x322696471792440499b1979e0a440491e870667a
被攻击合约地址:
0x4edda16ab4f4cc46b160abc42763ba63885862a4
部分攻击交易:
0x49ca5e188c538b4f2efb45552f13309cc0dd1f3592eee54decfc9da54620c2ec
0x3629ad588ac120163792e92b6c43bd4bdc5bf35cac66eb7f3a0267df93abc849
0x0a89b8670c40b4067b9522a5933c3bf8c44c968103aa642b04c65d49ad9e6457
0x5e468cba495e5f6165418fb9d87d824309c54261055425f33f588dd3b3abbcea
0x8710034dadecfc8c26f651c612f613fffdece6e2f9957b9ec8ab843218168c1d
0x9da398ed274c8cfa774b36003fa8c930d3430d0fc5889b5008830fd6463f68a9
0x2e3d4332f66a334e0170187011ed673dc222f95bf4443b618e08f8052437ef7a
0x5a15fdc57c35f2305aaa0bb95b109ad412b17406d737d137190fe5867393339d
0x8ef3765665cd849cdf9132ab37caf6aa0f891e1f7d9f418f86a6ab6ea38b6f5b
0xa9fa04b033afbed2218679aea92e9429a5f7839d0b4c65358ebf9ba20efcd021
本次事件的攻击核心是利用合约处理 redeem 函数调用时未能充分验证用户输入的外部参数。该参数是控制资产兑换的关键数据,通常包含特定的交易指令或路由信息。攻击者通过恶意构造这一外部参数,实现了未授权的资产转移。
攻击者多次调用 redeem 函数,申请赎回数量为 0 的资产,此行为本身看似无害,因为赎回数量为零时通常不会触发任何实际的资金流动:
但是跟进 redeem 函数可以发现,该函数会遍历合约允许的资产列表,并在当前资产不为用户希望接收的资产时,会根据传入的 dataList 参数解析并外部调用 1inch Router 中对应的函数来执行资产兑换操作。
而由于此处传入的 dataList 并未经过检查和验证,使得攻击者可以构造恶意的值去执行 1inch Router 合约的 unoswapTo 函数来进行任意可控的兑换代币操作。
结果,Yiedl BULL 合约中的 WBNB-ADA Token 被兑换为 BNB 至攻击者的地址。
通过这种方式,攻击者无需实际拥有任何赎回份额,即可触发由 dataList 参数控制的代币兑换操作,在不消耗自身资产的情况下,多次调动合约资金,获利离场。
本次攻击的核心在于函数未能充分验证用户输入的 dataList 参数,导致攻击者可以构造恶意的外部数据并利用 1inch 套走合约中的代币。慢雾安全团队建议项目方在开发中实施严格的参数验证机制,尤其是在涉及合约中的资金操作时,要确保所有外部调用均符合预期的行为规范,并对合约的逻辑进行彻底的安全审计,避免类似事件再次发生。
1 最新行情晚报:ORDI价格达24.114美元/枚,日内涨幅3.65%
BOSS Wallet数据来源,Ordinals实时价格行情,ORDI今日最新价格达$24.114,涨幅高达3.65%,交易量$1.96亿从k线图的分析来看,目前为震荡趋势。相比11:00较大幅上涨,比03:00有所回升,比08:00有所下降。价格和交易量同时下降,通常意味着市场活跃度降低,买卖双方都不活跃。市场可能处于观望状态,等待新的驱动因素。这种情况下,未来价格可能会继续低迷或横盘整理,直到
2 实时价格午报:XRP瑞波币报0.4511美元/枚,跌幅达-3.07%
BOSS Wallet数据来源,瑞波币xrp今日价格行情,XRP瑞波币最新价格跌落至$0.4511,跌幅达-3.07%,交易量$18.96亿从k线图的分析来看,目前为震荡趋势。相比01:00较大幅上涨,比00:00有所回升,比20:00有所下降。市场热度低,交易量减少。 通过威廉指标判断,目前是没有超买和超卖。最近交易量有所减少,交易量比前几小时减少,价格和交易量同时下降:市场冷清,交易不活跃。市
3 最新行情晚报:BNB币安币价格达449.2美元/枚,日内涨幅1.01%
BOSS Wallet数据来源,币安币BNB今日行情消息,BNB币安币最新价格:$449.2,24小时跌-15.53%,交易量$26.16亿依据k线图分析结果,目前属于下降趋势。相比10:00大幅下跌,比03:00有所回升,比09:00有所下降。价格和交易量同时下降,通常表明市场活跃度下降,买卖双方都不活跃。市场可能处于观望状态,等待新的驱动因素出现。在这种情况下,未来价格可能会继续低迷或横盘整理
BlockBeats 消息,8 月 5 日,Aave 创始人 Stani 发文表示,因发生大量去中心化的清算,Aave 财库获得 600 万美元收入。Aave 协议经受住了 14 个活跃市场各个 L1 和 L2 的市场压力,确保了 210 亿美元的价值。
5 实时价格午报:PEPE报0.000006541美元/枚,跌幅达-3.70%
BOSS Wallet数据来源,Pepe实时价格行情,PEPE今日最新价格达$0.000006541,跌幅高达-3.70%,交易量$12.14亿通过k线图分析得出,现在是震荡趋势。相比01:00小幅上涨,相比00:00小幅下跌,比20:00有所下降。震荡趋势中, 交易量减少,价格和交易量同时下降。 根据威廉指标,现在的情况是超卖。最近交易量有所减少,交易量比前几小时减少,价格和交易量同时下降:市场
6 实时价格午报:PEPE站上0.000006569美元/枚,涨幅达3.06%
BOSS Wallet数据来源,Pepe今日行情消息,PEPE最新价格:$0.000006569,24小时跌-24.28%,交易量$12.14亿通过研究k线图,现在处于震荡趋势。相比01:00较大幅上涨,比20:00有所下降。价格和交易量同时下降,通常表明市场活跃度降低,买卖双方都不活跃。市场可能处于观望状态,等待新的驱动因素出现。这种情况下,未来价格可能会继续维持低迷或横盘整理,直到出现新的市场
7 最新行情晚报:AVAX价格达18.717美元/枚,日内涨幅3.10%
BOSS Wallet数据来源,Avalanche最新价格消息,AVAX实时价格上涨3.10%至$18.717,交易量$4.16亿通过k线图的解析,现在处于震荡趋势。相比09:00大幅下跌,比01:00有所回升,比08:00有所下降。价格和交易量同时下降,通常表明市场活跃度下降,买卖双方都不活跃。市场可能处于观望状态,等待新的驱动因素出现。在这种情况下,未来价格可能会继续低迷或横盘整理,直到新的市
8 最新行情晚报:BCH比特现金价格达280.2美元/枚,日内跌幅-3.51%
BOSS Wallet数据来源,比特现金BCH今日行情消息,BCH比特现金最新价格:$280.2,24小时跌-23.57%,交易量$4.33亿根据对k线图的解析,现在属于下降趋势。相比09:00大幅下跌,比01:00有所回升。市场活跃度低,动能不足。 依据威廉指标,当前属于没有超买和超卖。最近交易量有所减少,交易量比前几小时减少,价格和交易量同时下降:市场冷清,交易不活跃。市场冷清,动能不足,建议
9 CME比特币合约未平仓头寸为至78.41亿美元,24H涨幅3.43%
Coinglass 数据显示,全网 BTC 期货合约未平仓头寸为 49.04 万枚 BTC,约合 273.65 亿美元,24H 跌幅为 2.13%。其中 CME BTC 合约未平仓头寸为 14.08 万枚 BTC(约合 78.41 亿美元),排名第一,24H 涨幅为 3.43%;币安 BTC 合约未平仓头寸为 11.32 万枚 BTC(约合 63.09 亿美元),排名第二,24H 跌幅为 4.18
10 分析师:美联储或将于本月被迫紧急降息,市场转向使衰退更有可能发生
分析师表示,美联储可能会被迫在 9 月份的下一次会议之前降息,以防市场和实体经济之间形成引发衰退的反馈循环。此前日本央行加息,美国经济数据弱于预期,引发已积累到极端水平的全球巨大失衡的松动。但经济恶化的速度并未突然加快——上周就业数据并非衰退的确定预兆,而“萨姆规则”的触发仅转移了市场注意力,地缘政治紧张局势加剧也成助推因素。经济局势并无巨大不同,但市场转向对衰退前景的定价使衰退更有可能发生。美联
