FOR:安全公司慢霧：Punk Protocol被攻擊主要因其未做重復初始化檢查

安全公司慢霧對去中心化年金協議PunkProtocol遭遇攻擊的原理進行了解析。攻擊者首先調用CompoundModel合約的Initialize函數進行重復初始化操作將合約Forge角色設置為攻擊者指定的地址。隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中以取得抵押憑證cToken。最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取對應的底層資產并最終將其轉給Forge角色。withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

安全公司BlockSec幫助Platypus追回240萬美元被盜資金:金色財經報道，穩定幣交易項目Platypus遭黑客攻擊后，在區塊鏈安全公司BlockSec的幫助下，至少已有240萬美元資金被追回。Blocksec的可視化工具MetalSleuth表示，在Platypus被盜的近910萬美元資金中，攻擊者只能兌現27萬美元。BlockSec利用攻擊合約中的漏洞，使用回調函數，將資金從攻擊合約轉移至Platypus的賬戶上，目前已追回240萬美元。據此前消息，Platypus遭遇閃電貸攻擊，損失約900萬美元，大部分被盜資金仍留在攻擊者的合約地址中，部分資金被發送到EOA和AAVE池中。在對攻擊合約進行反編譯后發現，攻擊者并沒有在合約中實現提現功能，導致攻擊收益無法提取，850萬美元被凍結在攻擊合約內。[2023/2/18 12:14:27]

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

加密安全公司Fortanix完成9000萬美元C輪融資，高盛領投:9月15日消息，網絡安全及區塊鏈安全工具開發公司Fortanix宣布完成9000萬美元C輪融資，高盛資產管理公司（Goldman Sachs Asset Management）旗下成長股權（Growth Equity）部門領投，Giantleap Capital、Foundation Capital、Intel Capital、Neotribe Ventures和In-Q-Tel等參投，截止目前該公司融資總金額已達到1.22億美元。（siliconangle）[2022/9/15 6:59:27]

Tags：FORODEFORGEORGforth幣最新價格PNODE價格Vulcan ForgedCORGI

芝麻開門交易所下載