據慢霧安全團隊情報,ETH鏈上的NumbersProtocol代幣項目遭到攻擊,攻擊者獲利約13,836美元。慢霧安全團隊以簡訊形式分享如下:
1.攻擊者創建了一個惡意的anyToken代幣,即攻擊合約,該惡意代幣合約的底層代幣指向NUM代幣地址;
慢霧:從Multichain流出的資金總額高達2.65億美元,分布在9條鏈:金色財經報道,自7月7日以來,從 Multichain 流出的資金總額高達 2.65 億美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結,1,296,990.99 ICE(約 162 萬美元) 被 Token 發行方 Burn。流出的資金中,包括:
1)從 Multichain: Old BSC Bridge 轉出的 USDT;
2)從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;
3)從 Anyswap: Bridge Fantom 轉出的 BIFI;
4)從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC;
5)從 MultiChain: Doge Bridge 轉出的 USDC;
6)從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;
7)從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH,同時我們認為該標記(Fake Phishing183873)或許是 Etherscan 上的虛假標記,地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]
2.接著調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數,該函數的功能是傳入anyToken并調用底層代幣的permit函數進行簽名批準,之后兌換出擁有授權的用戶的底層代幣給指定地址。但是由于NUM代幣中沒有permit函數且擁有回調功能,所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗,導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中;
慢霧:7月3日至7月7日期間?Web3生態因安全問題損失近1.3億美元:7月10日消息,慢霧發推稱,自7月3日至7月7日,Web3生態因安全問題遭遇攻擊損失128,419,000美元,包括Encryption AI、AzukiDao、NFT Trader、MIKE&SID、Bryan Pellegrino、Aptos Foundation、Multichain、CivFund。其中,Multichain被攻擊損失1.26億美元。[2023/7/10 10:12:36]
3.接著攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利;
慢霧:過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息,慢霧發推稱,過去一周Web3生態系統因安全事件損失近160萬美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
此次攻擊的主要原因在于NUM代幣中沒有permit函數且具有回調功能,所以可以傳入假簽名欺騙跨鏈橋導致用戶資產被非預期轉出。
參考攻擊交易:https://etherscan.io/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
Tags:CHAUSDHAIChainVotechainusdn幣今天價格GranX ChainChain Flowers
據Decrypt報道,加密交易所Coinbase支持灰度Grayscale因比特幣ETF申請遭拒絕而對美國證券交易委員會(SEC)發起訴訟。此前SEC拒絕了灰度發行比特幣ETF的申請.
1900/1/1 0:00:00據彭博社報道,已申請破產的加密借貸平臺CelsiusNetwork的審查員ShobaPillay發布的一份中期報告詳細說明了該公司為客戶保管的數字資產相關的兩種產品在會計控制和運營方面的缺陷.
1900/1/1 0:00:00Aptos在其官網上公布代幣經濟學概覽,初始供應總量10億枚,51.02%的代幣分配給社區。19%分配給核心貢獻值,16.5%分配給基金會,13.48%分配給投資者.
1900/1/1 0:00:00據CoinDesk報道,Web3游戲工作室RobotoGames宣布完成1500萬美元A輪融資,a16z領投.
1900/1/1 0:00:00埃及金融科技公司MoneyFellows宣布已完成3100萬美元B輪融資,本輪融資由CommerzVentures、中東風險投資公司(MEVP)和ArzanVentureCapital領投.
1900/1/1 0:00:00加密KOLZachXBT發推稱,FTX黑客與FTX團隊和巴哈馬官方其實沒有關系,“0x59”開頭的錢包地址應該屬于一個黑帽黑客,在出售ETH、DAI和BNB時使用了非常高的交易滑點.
1900/1/1 0:00:00