鏈捕手消息,據此前報道,智安智能鏈上AMM協議Uranium“被黑”,損失金額達5000萬美元。
慢霧安全團隊進行分析稱:此次問題發生在Uranium項目的pair合約上,該合約的swap函數部分邏輯參考了PancakeSwap的邏輯,允許用戶進行閃電貸借出資金。但是該函數在根據恒定乘積公式檢查合約余額時,存在精度處理錯誤的問題,導致最后合約中計算出的余額比合約實際的余額大100倍,這種情況下,如果攻擊者使用閃電貸進行借款,只需要歸還借貸金額的1%即可通過檢查,盜走剩余的99%的余額,導致項目損失。
慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。
2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。
3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。
4.最后將LP發送至DEX中移除流動性獲利。
本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]
目前Uranium官方已發文確認被盜,并建議用戶聯系官方統計損失,慢霧安全團隊建議用戶在參與DeFi項目時注意風險,謹慎參與,并選擇經過安全審計的可靠項目方來參與DeFi,避免資金損失。
動態 | 慢霧:10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示,過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊,手法包括但不限于:第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施,例如:1. 密切注意第三方 JS 鏈接風險;2. 提幣地址應為白名單地址,添加時設置雙因素校驗,用戶提幣時從白名單地址中選擇,后臺嚴格做好校驗。此外,也要多加注意內部后臺的權限控制,防止內部作案。[2019/11/1]
攻擊者攻擊交易哈希
聲音 | 慢霧:Ghostscript存在多個漏洞:據慢霧區消息,Google Project Zero發布Ghostscript多個漏洞預警,遠端攻擊者可利用漏洞在目標系統執行任意代碼及繞過安全限制。Ghostscript 9.26及更早版本都受影響。軟件供應商已提供補丁程序。[2019/1/24]
Tags:STAKSTAAKIINGstake幣2023年會不會暴漲Stay In Destiny WorldAKITAX價格SWING
鏈捕手消息,據慢霧區分析,幣安智能鏈DeFi項目AutoSharkFinance被黑,導致代幣價格閃崩.
1900/1/1 0:00:00?鏈捕手消息,據吳說區塊鏈報道,在火星財經的直播中,孫宇晨表示,此次大跌核心是因為馬斯克的“反戈”,破壞了對比特幣的共識,但這只是短期事件,未來仍然會保持在5到10萬美金.
1900/1/1 0:00:00鏈捕手消息,Coinbase宣布其借記卡服務CoinbaseCard的用戶現在可以用手機使用Applepay進行支付.
1900/1/1 0:00:00鏈捕手消息,黑客組織Anonymous在Youtube上發布了挑戰特斯拉&SpaceX創始人埃隆·馬斯克(ElonMusk)的惡意信息.
1900/1/1 0:00:00本文來自律動BlockBeats。當你打開這篇文章的時候肯定沒有想到,魔幻的動物園幣熱潮以這種方式結束了,你也應該沒有想到BTC會因為一句話而暴跌10%,北京時間5月13日凌晨,必將成為本輪加密.
1900/1/1 0:00:00鏈捕手消息,APENFT(NFT)將于新加坡時間2021年5月20日20:00登陸火幣全球站優選上幣通道.
1900/1/1 0:00:00