CPBOX假USDT是如何创建——保姆级教程教你如何分辨真假U
什么是假USDT假USDT通常指的是一些非官方发行,或者没有真实背书的USDT代币。这些代币可能是通过某些非法手段制造出来的,或者是通过欺骗手段从他人手中骗取的。 高仿假usdt也是基于trc erc链上发行。转出也是需要消耗对应能量例如TRX 所以本质上我们只要在TRC链上发行代币就可以了 TRC-20 代币类似以太坊的 ERC-20,基于智能合约的标准化代币。支持复杂功能(如授权转账、代币销毁等),交易需要消耗TRX作为手续费(Gas)。常用于DeFi代币(如稳定币、治理代币)等。 通常说到波场链的代币,未特殊说明的话,都是默认指TRC-20的代币标准。本文的发币教程也核心针对TRC-20代币标准进行演示说明。 标准TRC-20代币指的是没有任何功能、机制的代币合约,代币创建之后默认会丢弃权限,所以也没有任何权限,是一个纯粹的、干净的、标准的合约。 根据以下步骤,您可以在Tron上创建一个属于自己的标准合约代币。 如果你觉得下方教程难以实现,或者有类似的开发需求:可以通过最下方的联系方式找到我们部署准备钱包:TronLink,保证钱包中至少有150个TRX,用于支付代币部署的...
CPBOXBinance交易所批量提币教程
由于交易所的钱包地址通常处于白名单中,项目方在进行反女巫查找时会将交易所地址设为白名单。一般批量撸空投时都会从交易所提币分散到各个钱包地址中。然而,每次提币都需要输入验证码,这一过程相对繁琐。为解决这个问题,Crypto Box推出了【交易所批量提币】功能,使大家可以利用这个工具从Binance交易所批量提币到链上,从而节省时间。本次教程分2个部分,第一部分是进入Binance交易所创建API key并设置提币IP,第二部分是登录Crypto Box官网https://www.cpbox.io/cn/exchange/withdraw,设置批量提币相关信息,进行批量提币。 一、创建Binance交易所API key 1. 进入Binance交易所官网 www.binance.com,登录账号后,点击右上角小人头像找到【API 管理】点击进入2. 点击【创建API】,再选择【密钥类型】,并点击【下一步】3.自定义 输入API密钥标签,再点击【下一步】4.完成安全验证 5. 完成验证后,点击【编辑权限】6.再选择【限制只对受信任ip的访问(推荐)】输入IP【************】...
CPBOX撸空投高手的秘密武器:指纹浏览器批量操作教程,撸空投必学
最近ARB空投账号简直是金铲子,整个撸空投圈热情也是非常高涨,因为在这个赛道已经表现出了足够强的造富效应,也涌现了一大批通过获得空投赚麻的人,伴随着造富效应,场外也有不少人涌进空投赛道,首先先给大家列举下历史上的大空投项目:可以看到单号收益基本最低都有一万多收益,这可以说是相当诱人的回报率,所以很多人开始了多号撸空投,并且已经在前几个项目中赚到了可能普通人一辈子都赚不到的钱,这也导致行业越来越卷,项目方审查越来越严格,对于项目方的审查机制我们无法获知,但是批量操作能吃到更多的收益是大家都认可的事情。 如何避免项目方的审查机制,成为了更需要注意的事情,毕竟辛苦几个月耗费时间精力最后因为被女巫检测了,那真是得不偿失。 指纹浏览器算是撸空投圈必备秘器,指纹浏览器可以做到,隔离IP、多号操作、群控操作等,而且其特性也更方便批量撸空投人的账号管理,基本上是人手必备的工具。本期教程为大家带来指纹浏览器的操作及群控教程,让新人也感受下撸空投的币圈人有多么疯狂。 教程目录:指纹浏览器介绍及基础使用IP购买独立IP操作指纹浏览器指纹浏览器的群控操作指纹浏览器的使用技巧一、指纹浏览器介绍及基础使用 ...
CPBox.io is a powerful toolkit for one-click token creation and batch management on Solana, Sui, and BSC. Built for Web3 teams, developers,
Support CPBOX
CPBOXYearn Finance被盗超1100万美元,完整攻击流程深度解析
Support CPBOX
CPBOXYearn Finance被盗超1100万美元,完整攻击流程深度解析
CPBOX假USDT是如何创建——保姆级教程教你如何分辨真假U
什么是假USDT假USDT通常指的是一些非官方发行,或者没有真实背书的USDT代币。这些代币可能是通过某些非法手段制造出来的,或者是通过欺骗手段从他人手中骗取的。 高仿假usdt也是基于trc erc链上发行。转出也是需要消耗对应能量例如TRX 所以本质上我们只要在TRC链上发行代币就可以了 TRC-20 代币类似以太坊的 ERC-20,基于智能合约的标准化代币。支持复杂功能(如授权转账、代币销毁等),交易需要消耗TRX作为手续费(Gas)。常用于DeFi代币(如稳定币、治理代币)等。 通常说到波场链的代币,未特殊说明的话,都是默认指TRC-20的代币标准。本文的发币教程也核心针对TRC-20代币标准进行演示说明。 标准TRC-20代币指的是没有任何功能、机制的代币合约,代币创建之后默认会丢弃权限,所以也没有任何权限,是一个纯粹的、干净的、标准的合约。 根据以下步骤,您可以在Tron上创建一个属于自己的标准合约代币。 如果你觉得下方教程难以实现,或者有类似的开发需求:可以通过最下方的联系方式找到我们部署准备钱包:TronLink,保证钱包中至少有150个TRX,用于支付代币部署的...
CPBOXBinance交易所批量提币教程
由于交易所的钱包地址通常处于白名单中,项目方在进行反女巫查找时会将交易所地址设为白名单。一般批量撸空投时都会从交易所提币分散到各个钱包地址中。然而,每次提币都需要输入验证码,这一过程相对繁琐。为解决这个问题,Crypto Box推出了【交易所批量提币】功能,使大家可以利用这个工具从Binance交易所批量提币到链上,从而节省时间。本次教程分2个部分,第一部分是进入Binance交易所创建API key并设置提币IP,第二部分是登录Crypto Box官网https://www.cpbox.io/cn/exchange/withdraw,设置批量提币相关信息,进行批量提币。 一、创建Binance交易所API key 1. 进入Binance交易所官网 www.binance.com,登录账号后,点击右上角小人头像找到【API 管理】点击进入2. 点击【创建API】,再选择【密钥类型】,并点击【下一步】3.自定义 输入API密钥标签,再点击【下一步】4.完成安全验证 5. 完成验证后,点击【编辑权限】6.再选择【限制只对受信任ip的访问(推荐)】输入IP【************】...
CPBOX撸空投高手的秘密武器:指纹浏览器批量操作教程,撸空投必学
最近ARB空投账号简直是金铲子,整个撸空投圈热情也是非常高涨,因为在这个赛道已经表现出了足够强的造富效应,也涌现了一大批通过获得空投赚麻的人,伴随着造富效应,场外也有不少人涌进空投赛道,首先先给大家列举下历史上的大空投项目:可以看到单号收益基本最低都有一万多收益,这可以说是相当诱人的回报率,所以很多人开始了多号撸空投,并且已经在前几个项目中赚到了可能普通人一辈子都赚不到的钱,这也导致行业越来越卷,项目方审查越来越严格,对于项目方的审查机制我们无法获知,但是批量操作能吃到更多的收益是大家都认可的事情。 如何避免项目方的审查机制,成为了更需要注意的事情,毕竟辛苦几个月耗费时间精力最后因为被女巫检测了,那真是得不偿失。 指纹浏览器算是撸空投圈必备秘器,指纹浏览器可以做到,隔离IP、多号操作、群控操作等,而且其特性也更方便批量撸空投人的账号管理,基本上是人手必备的工具。本期教程为大家带来指纹浏览器的操作及群控教程,让新人也感受下撸空投的币圈人有多么疯狂。 教程目录:指纹浏览器介绍及基础使用IP购买独立IP操作指纹浏览器指纹浏览器的群控操作指纹浏览器的使用技巧一、指纹浏览器介绍及基础使用 ...
CPBox.io is a powerful toolkit for one-click token creation and batch management on Solana, Sui, and BSC. Built for Web3 teams, developers,
Subscribe to CPBOX
Subscribe to CPBOX
<100 subscribers
<100 subscribers
4月13日,据悉老牌DeFi项目Yearn Finance遭受黑客闪电贷攻击,被盗超1100万美元,Crypto Box团队得知该消息后,第一时间对整个攻击流程进行完整的梳理,后续将继续对黑客资金流向进行追踪,播报。下面跟着我们一起来梳理一下此次被盗事件的完整流程。
一、攻击情况概述
黑客根据yUSDT的合约配置错误,通过1wUSDT攻击yUSDT合约,得到了巨额的yUSDT,然后通过CURVE换成了USDT、USDC、BUSD等其他的稳定币,总计11539783美金。
详细数量见下表:
二、漏洞详情
yUSDT的合约地址配置错误,其中fulcrum基于#iUSDC 而不是#iUSDT
合约地址:https://etherscan.io/address/0x83f798e925BcD4017Eb265844FDDAbb448f1707D#code
三、详细攻击流程
1、攻击者首先通过闪电贷从 Balancer Vault中借5,000,000 DAI,5,000,000 USDC,2,000,000 USDT,
2、黑客调用 Aave 合约的 repay 函数来偿还他人的债务。 这是为了降低 Aave 池中的抵押品收益率,从而降低 Aave 池在合约中的优先级(Yearn 合约根据收益率确定将资金分配到哪个池)。
3、黑客调用了Yearn:yUSDT Token合约的充值函数,充值了90万枚USDT。 该函数根据存款金额和池中的代币余额为调用者铸造了相应数量的 yUSDT。 黑客此时铸造了 820,000 yUSDT,为后续的操作做准备。
4、此时,合约中有900,000 USDT和130,000 aUSDT。
5、接下来,攻击者用 150,000 美元换取 150,000 bZx USDC iToken 并将其发送到 Yearn:yUSDT Token 合约。 此时,合约持有 118 万资金,攻击者拥有 90/103 的份额,这意味着他们可以提取 103 万资金。
6、随后,攻击者调用 Yearn:yUSDT Token 合约的 withdraw 函数提取存入的资金。 此时,合约中只有之前存入的900K USDT,初始的130K aUSDT,以及150,000 bZx USDC iTokens。
7、如果一个池中的代币不足,合约将按顺序从后续池中提取代币。 此时,攻击者取出了全部900,000 USDT和130,000 aUSDT。 此操作后,合约仅持有 150,000 bZx。
8、黑客随后调用了 Yearn:yUSDT 代币合约的relance函数。 该函数从当前池中取出代币,存入另一个收益更高的池中。而在 _withdrawAll 操作中会燃烧掉 iUSDC 以获得 USDC 代币,但在更新储备时获取的是 yUSDT 合约中 USDT 的余额。因此 fulcrum 储备被错误的指向了 iUSDC,导致此时 yUSDT 合约储备被操控为 0。
9、由于第 2 步,合约将提取 USDT 和 USDC 并将它们添加到更高收益的池中。 由于合约现在只有bZx,所以只能提取USDC。 之后,资金被再投资到另一个 USDT 池中。
10、黑客转入1 WEI USDT到池中,再次调用Yearn:yUSDT Token合约的充值函数充值10,000 USDT。 由于之前的操作,合约已经从池中提取了所有资金,无法将它们添加到新的池中。
11、结果,计算出的pool变量是黑客转移的 1 WEI,由于fulcrum合约配置错误,导致pool的计算中_balanceFulcrumInToken()返回了0,导致pool的计算结果成了1 wei,由于pool被用作除数,而分子还是很大的值,从而使shares计算出了一个非常大的值,用账户铸造了大量的yUSDT。
最后,黑客使用 yUSDT 换出所有其他稳定币,总计盗取价值约为1150万美金的稳定币。
附录:
交易详情:https://etherscan.io/tx/0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d/advanced#internalyUSDT合约地址:https://etherscan.io/address/0x83f798e925BcD4017Eb265844FDDAbb448f1707D#code
四、结语
目前DeFi项目被盗事件频发,用户资产安全始终是重中之重,Crypto Box建议项目在上线或更新部署新的合约前应做好充分的合约审计工作,规避风险,保证用户资产安全。
Crypto Box是一个致力于成为最专业的Web3投研信息、实用工具、教程百科平台!我们的愿景是以社区发掘+深入投研+技术工具帮助Web3投资者。
4月13日,据悉老牌DeFi项目Yearn Finance遭受黑客闪电贷攻击,被盗超1100万美元,Crypto Box团队得知该消息后,第一时间对整个攻击流程进行完整的梳理,后续将继续对黑客资金流向进行追踪,播报。下面跟着我们一起来梳理一下此次被盗事件的完整流程。
一、攻击情况概述
黑客根据yUSDT的合约配置错误,通过1wUSDT攻击yUSDT合约,得到了巨额的yUSDT,然后通过CURVE换成了USDT、USDC、BUSD等其他的稳定币,总计11539783美金。
详细数量见下表:
二、漏洞详情
yUSDT的合约地址配置错误,其中fulcrum基于#iUSDC 而不是#iUSDT
合约地址:https://etherscan.io/address/0x83f798e925BcD4017Eb265844FDDAbb448f1707D#code
三、详细攻击流程
1、攻击者首先通过闪电贷从 Balancer Vault中借5,000,000 DAI,5,000,000 USDC,2,000,000 USDT,
2、黑客调用 Aave 合约的 repay 函数来偿还他人的债务。 这是为了降低 Aave 池中的抵押品收益率,从而降低 Aave 池在合约中的优先级(Yearn 合约根据收益率确定将资金分配到哪个池)。
3、黑客调用了Yearn:yUSDT Token合约的充值函数,充值了90万枚USDT。 该函数根据存款金额和池中的代币余额为调用者铸造了相应数量的 yUSDT。 黑客此时铸造了 820,000 yUSDT,为后续的操作做准备。
4、此时,合约中有900,000 USDT和130,000 aUSDT。
5、接下来,攻击者用 150,000 美元换取 150,000 bZx USDC iToken 并将其发送到 Yearn:yUSDT Token 合约。 此时,合约持有 118 万资金,攻击者拥有 90/103 的份额,这意味着他们可以提取 103 万资金。
6、随后,攻击者调用 Yearn:yUSDT Token 合约的 withdraw 函数提取存入的资金。 此时,合约中只有之前存入的900K USDT,初始的130K aUSDT,以及150,000 bZx USDC iTokens。
7、如果一个池中的代币不足,合约将按顺序从后续池中提取代币。 此时,攻击者取出了全部900,000 USDT和130,000 aUSDT。 此操作后,合约仅持有 150,000 bZx。
8、黑客随后调用了 Yearn:yUSDT 代币合约的relance函数。 该函数从当前池中取出代币,存入另一个收益更高的池中。而在 _withdrawAll 操作中会燃烧掉 iUSDC 以获得 USDC 代币,但在更新储备时获取的是 yUSDT 合约中 USDT 的余额。因此 fulcrum 储备被错误的指向了 iUSDC,导致此时 yUSDT 合约储备被操控为 0。
9、由于第 2 步,合约将提取 USDT 和 USDC 并将它们添加到更高收益的池中。 由于合约现在只有bZx,所以只能提取USDC。 之后,资金被再投资到另一个 USDT 池中。
10、黑客转入1 WEI USDT到池中,再次调用Yearn:yUSDT Token合约的充值函数充值10,000 USDT。 由于之前的操作,合约已经从池中提取了所有资金,无法将它们添加到新的池中。
11、结果,计算出的pool变量是黑客转移的 1 WEI,由于fulcrum合约配置错误,导致pool的计算中_balanceFulcrumInToken()返回了0,导致pool的计算结果成了1 wei,由于pool被用作除数,而分子还是很大的值,从而使shares计算出了一个非常大的值,用账户铸造了大量的yUSDT。
最后,黑客使用 yUSDT 换出所有其他稳定币,总计盗取价值约为1150万美金的稳定币。
附录:
交易详情:https://etherscan.io/tx/0xd55e43c1602b28d4fd4667ee445d570c8f298f5401cf04e62ec329759ecda95d/advanced#internalyUSDT合约地址:https://etherscan.io/address/0x83f798e925BcD4017Eb265844FDDAbb448f1707D#code
四、结语
目前DeFi项目被盗事件频发,用户资产安全始终是重中之重,Crypto Box建议项目在上线或更新部署新的合约前应做好充分的合约审计工作,规避风险,保证用户资产安全。
Crypto Box是一个致力于成为最专业的Web3投研信息、实用工具、教程百科平台!我们的愿景是以社区发掘+深入投研+技术工具帮助Web3投资者。
Share Dialog
Share Dialog
No activity yet