比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 波場 > Info

ANC:慢霧安全預警:Solana上出現多起授權釣魚事件,請勿掉以輕心

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投NFT(圖1),用戶通過空投NFT描述內容里的鏈接(www_officialsolanarares_net)進入目標網站,連接錢包(圖2),點擊頁面上的“Mint”,出現批準提示框(圖3)。注意,此時的批準提示框并沒有什么特別提示,當批準后,該錢包里的所有SOL都會被轉走。當點擊“批準”時,用戶會和攻擊者部署的惡意合約交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

慢霧安全提醒:Rabby錢包項目Swap合約存在外部調用風險,請迅速取消授權:金色財經報道,據慢霧安全團隊情報,2022年10月11號,ETH鏈上的Rabby錢包項目的Swap合約被攻擊,其合約中代幣兌換函數直接通過OpenZeppelin Addresslibrary中的functionCallWith Value函數進行外部調用,而調用的目標合約以及調用數據都可由用戶傳入,但合約中并未對用戶傳入的參數進行檢查,導致了任意外部調用問題。攻擊者利用此問題竊取對此合約授權過的用戶的資金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權并提取資金以規避風險。

截止目前,Rabby Swap事件黑客已經獲利超19萬美元,資金暫時未進一步轉移。黑客地址的手續費來源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:18]

該惡意合約的功能最終就是發起“SOLTransfer”,將用戶的SOL幾乎全部轉走。從鏈上信息來看,該釣魚行為已經持續了幾天,中招者在不斷增加。

關于慢霧安全審計未發現Parallel Finance漏洞的不實消息的聲明:7月11日消息,針對今日媒體報道慢霧安全審計了遭受重入攻擊的DeFi平臺Parallel Finance項目智能合約一事,慢霧安全再次聲明,近日發生重入攻擊的項目是Omni Protocol,該項目是Parallel Finance項目的另一個項目,慢霧審計的是Parallel Finance在波卡生態里的項目代碼,具體的審計報告可見原文鏈接。針對上述事件,慢霧將保留依法追究名譽侵犯的權利。

此前消息,DeFi平臺Parallel Finance遭受重入攻擊,導致了約200萬美元的損失。[2022/7/11 2:06:00]

提醒:1.惡意合約在用戶批準(Approve)后,可以轉走用戶的原生資產(這里是SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的Token。于是這里就存在“常識違背”現象,導致用戶容易掉以輕心。

慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解,4月22日13時左右,BEC出現異常交易。慢霧安全團隊第一時間分析發現,BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞,攻擊者可傳入很大的value數值,使cnt*value后超過unit256的最大值使其溢出導致amount變為0。

通過此次分析,慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0,及在for循環內執行balances[msg.sender].sub(value)操作。

這類漏洞屬于不可逆的破壞型漏洞,慢霧安全團隊建議其他智能合約發布方及時自查。[2018/4/23]

2.Solana最知名的錢包Phantom在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。

Tags:ANCARASOLPARASaba FinanceTaralitysol幣未來價值預測PARADOX幣

波場
元宇宙:4大導師聯手“元宇宙線下研修班”,帶你抓住NFT、元宇宙時代紅利

冬奧會火了的不僅僅是“軟萌”的冰墩墩,還有NFT數字藏品。冬奧期間,NFT數字藏品可以說“琳瑯滿目”,國際奧委會官方授權的冰墩墩NFT數字藏品盲盒,總量500個,單價99美元,直接被全球粉絲“秒.

1900/1/1 0:00:00
元宇宙:元宇宙中關于環境、社會與治理的思考

作者:KateKwan翻譯:墨菲的時間原文來源:https://medium.com/@achworldwideESG/esg-considerations-in-metaverse-e3799.

1900/1/1 0:00:00
區塊鏈:江蘇省宿遷市宿豫區聯合多部門整治虛擬貨幣“挖礦”

據宿遷日報消息,近日,江蘇省宿遷市宿豫區發改局聯合網信辦、局、工信局、市場監管局、豫新街道等部門和運營商開展虛擬貨幣“挖礦”整治專項活動,核查重點企業,進一步加強監管,全面清理“挖礦”行為.

1900/1/1 0:00:00
區塊鏈:產業區塊鏈周報丨聚焦國內區塊鏈政策熱點

中央 央行:扎實推進數字人民幣研發試點,逐步建立健全管理制度框架中國人民銀行召開2022年貨幣金銀和安全保衛工作電視會議,會議要求,2022年人民銀行資金保衛系統要按照立足新發展階段.

1900/1/1 0:00:00
元宇宙:圍繞“元宇宙”這件提案,三十八位政協委員聯了名

作者:崔呂萍 來源:人民政協網 在今年全國兩會上,全國政協委員、第五空間信息科技研究院院長、上海市信息安全行業協會名譽會長談劍鋒帶來了一件“關于加強對元宇宙市場的監管.

1900/1/1 0:00:00
元宇宙:巴比特 | 元宇宙每日必讀:杭州亞運會組委會將發售“亞運在中國”系列數字藏品;“戲曲元宇宙”是啥?怎么建?

摘要:杭州亞運會組委會將于3月31日在鯨探發售“亞運在中國”系列數字藏品,包括北京亞運會、廣州亞運會和杭州亞運會三種數字藏品,每種藏品的數量為19900件,售價為18元.

1900/1/1 0:00:00
ads