比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

CTR:慢霧:Punk Protocol被攻擊因其CompoundModel合約Initialize函數未做重復初始化檢查

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊,慢霧安全團隊以簡訊形式將攻擊原理分享如下:

1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。

慢霧:美國演員SethGreen的NFT遭釣魚攻擊,資金已跨鏈到 BTC 并混幣:5月18日消息,美國演員SethGreen遭遇釣魚攻擊致4個NFT(包括1個BAYC、2個MAYC和1個Doodle)被盜,釣魚者地址已將NFT全部售出,獲利近160枚ETH(約33萬美元)。

慢霧MistTrack對0xC8a0907開頭的釣魚地址分析后,發現總共有8個用戶的NFT被盜,包含MAYC、Doodle、BAYC、VOX等12類NFT,全部售出后總獲利194ETH。同時,該釣魚地址初始資金0.188ETH來自Change NOW。釣魚者地址將大部分ETH轉換為renBTC后跨鏈到6個BTC地址,約14BTC均通過混幣轉移以躲避追蹤。NFT釣魚無處不在,請大家保持懷疑,提高警惕。[2022/5/18 3:24:23]

2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。

慢霧:警惕QANX代幣的雙花攻擊風險:據慢霧區消息,近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。

慢霧安全團隊建議已上架此幣種的平臺及時自查,未上架的平臺在對接此類幣種時應注意以上風險。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

動態 | 慢霧:Electrum“更新釣魚”盜幣攻擊補充預警:Electrum 是全球知名的比特幣輕錢包,支持多簽,歷史悠久,具有非常廣泛的用戶群體,許多用戶喜歡用 Electrum 做比特幣甚至 USDT(Omni) 的冷錢包或多簽錢包。基于這種使用場景,Electrum 在用戶電腦上使用頻率會比較低。Electrum 當前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在“消息缺陷”,這個缺陷允許攻擊者通過惡意的 ElectrumX 服務器發送“更新提示”。這個“更新提示”對于用戶來說非常具有迷惑性,如果按提示下載所謂的新版本 Electrum,就可能中招。據用戶反饋,因為這種攻擊,被盜的比特幣在四位數以上。本次捕獲的盜幣攻擊不是盜取私鑰(一般來說 Electrum 的私鑰都是雙因素加密存儲的),而是在用戶發起轉賬時,替換了轉賬目標地址。在此我們提醒用戶,轉賬時,需要特別注意目標地址是否被替換,這是近期非常流行的盜幣方式。并建議用戶使用 Ledger 等硬件錢包,如果搭配 Electrum,雖然私鑰不會有什么安全問題,但同樣需要警惕目標地址被替換的情況。[2020/1/19]

4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。

總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。

Tags:CTRTRUELEECTfactr幣空投trustwallet怎么購買MELE幣privacyandprotection

酷幣下載
NFT:仿盤和詐騙項目橫行Opensea,NFT熱度到巔峰了?

NFT的熱度已經炸了。 23日,Visa宣布以15萬美元購入一枚CryptoPunk,由此引發搶購熱潮,23日CryptoPunks成交額27821ETH,約合9222萬美元.

1900/1/1 0:00:00
NFT:0N1 Force:NFT頭像新秀,為什么可以成為 OpenSea榜一?

作者:0x21,律動BlockBeats 上周末,NFT交易平臺OpenSea再次成為行業絕對熱點,日交易量連續兩日破1億美金。截至8月22日,8月的總交易額已是為7月整月五倍.

1900/1/1 0:00:00
區塊鏈:實驗音樂人Holly Herndon在以太坊上推出音樂NFT拍賣行

據Decrypt8月14日消息,實驗音樂人HollyHerndon的新數字樂器正在增加一個NFT拍賣行組件,允許用戶提交他們自己的曲目,并通過DAO投票批準出售.

1900/1/1 0:00:00
TOKEN:教程 | 理解Solana中spl-token的Account體系

Solana中的Account?閱讀此文將會熟悉Solana中spl-token的Account體系,以及如何操作spl-token.

1900/1/1 0:00:00
LLE:三分鐘讀懂熱門 NFT 卡牌游戲 Parallel

撰文:Rafi_0x編譯:PerryWang1/這是有關@ParallelNFT的連環推,推薦給那些希望買到一些NFT卡牌、卻不知從哪兒入手的人.

1900/1/1 0:00:00
以太坊:以太坊GAS費短暫飆升至2400Gwei,疑似與0n1Force發售引發“GAS WAR”有關

巴比特訊,8月20日零時左右,以太坊GAS費短暫飆升,數據顯示,GAS費瞬時飆升至2400Gwei以上。這或許和一款名為”0n1Force“的NFT項目發售有關.

1900/1/1 0:00:00
ads