比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Fil > Info

NFT:慢霧:近期 Solana 授權釣魚頻發,提醒用戶勿掉以輕心

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報,Solana近期出現多起授權釣魚事件,攻擊者批量給用戶空投NFT,用戶通過空投NFT描述內容里的鏈接進入目標網站,授權批準后該錢包里的所有SOL都會被轉走。該惡意合約的功能最終就是發起“SOLTransfer”,將用戶的SOL幾乎全部轉走。從鏈上信息來看,該釣魚行為已經持續了幾天,中招者在不斷增加。

慢霧:美國演員SethGreen的NFT遭釣魚攻擊,資金已跨鏈到 BTC 并混幣:5月18日消息,美國演員SethGreen遭遇釣魚攻擊致4個NFT(包括1個BAYC、2個MAYC和1個Doodle)被盜,釣魚者地址已將NFT全部售出,獲利近160枚ETH(約33萬美元)。

慢霧MistTrack對0xC8a0907開頭的釣魚地址分析后,發現總共有8個用戶的NFT被盜,包含MAYC、Doodle、BAYC、VOX等12類NFT,全部售出后總獲利194ETH。同時,該釣魚地址初始資金0.188ETH來自Change NOW。釣魚者地址將大部分ETH轉換為renBTC后跨鏈到6個BTC地址,約14BTC均通過混幣轉移以躲避追蹤。NFT釣魚無處不在,請大家保持懷疑,提高警惕。[2022/5/18 3:24:23]

慢霧提醒稱,惡意合約在用戶批準(Approve)后,可以轉走用戶的原生資產(這里是SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的Token。于是這里就存在“常識違背”現象,導致用戶容易掉以輕心。

慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

同時,Solana最知名的錢包Phantom在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。

慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;

2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;

3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;

7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;

9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

Tags:NFTSWAPVSWETHapenft幣近期的前景OnigiriSwapVSW價格ethbox Token

Fil
NFT:起底NFT項目NeoNexus停運事件:真沒錢還是軟跑路?

原文標題:NFT項目NeoNexus停運,真沒錢還是軟跑路?作者:茉莉,蜂巢Tech3月21日晚,Solana鏈上的元宇宙項目NeoNexus宣布因資金不足無法繼續運行.

1900/1/1 0:00:00
APP:詳解 WalletConnect:錢包和 Dapps 之間的窄腰協議

原作者:NichananKesonpat,1kx聯合創始人原標題:《WalletConnect:TheNarrowWaistProtocolBetweenWallets&Dapps》 編.

1900/1/1 0:00:00
WEB:Web3創業者必讀:Delphi聯合創始人告訴你融資該避開哪些坑?

作者:TomShaughnessy,DelphiDigital 編譯:DeFi之道 Delphi已經投資了100多個項目,看過的項目超過數千個,甚至可能是數萬個.

1900/1/1 0:00:00
WEAVE:深度解析:Arweave 是長期區塊鏈存儲的關鍵參與者

原文標題:《Arweave——Web3.0存儲破局者》作者:NicoleCheng、Mstone(OFR分析師)新年伊始.

1900/1/1 0:00:00
FTX:FTX成立未來基金,預計今年將提供1-10億美元的投資與贈款

鏈捕手消息,FTX宣布成立為雄心勃勃的項目提供贈款和投資的慈善基金FTX未來基金,以改善人類的長期前景,并計劃在今年至少投入1億美元,至多部署10億美元,取決于發現了多少出色的機會.

1900/1/1 0:00:00
AST:Astar Network宣布 Coinbase Ventures 加入其戰略輪融資

鏈捕手消息,波卡生態多鏈多虛擬機去中心化應用中心AstarNetwork宣布,CoinbaseVentures加入其戰略融資.

1900/1/1 0:00:00
ads