買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 波場 > Info

ONE:慢霧:Force DAO 代幣增發漏洞簡析_ORCA

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,DeFi量化對沖基金ForceDAO項目的FORCE代幣被大量增發,經慢霧安全團隊分析發現:

在用戶進行deposit操縱時,ForceDAO會為用戶鑄造xFORCE代幣,并通過FORCE代幣合約的transferFrom函數將FORCE代幣轉入ForceProfitSharing合約中。但FORCE代幣合約的transferFrom函數使用了if-else邏輯來檢查用戶的授權額度,當用戶的授權額度不足時transferFrom函數返回false,而ForceProfitSharing合約并未對其返回值進行檢查。導致了deposit的邏輯正常執行,xFORCE代幣被順利鑄造給用戶,但由于transferFrom函數執行失敗FORCE代幣并未被真正充值進ForceProfitSharing合約中。最終造成FORCE代幣被非預期的大量鑄造的問題。

慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]

此漏洞發生的主要原因在于FORCE代幣的transferFrom函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用require對其返回值進行檢查,以避免此問題的發生。

慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]

分析 | 慢霧:攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析,從DragonEx公布的“攻擊者地址”的分析來看,20 個幣種都被盜取(但還有一些DragonEx可交易的知名幣種并沒被公布),從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同,攻擊持續的時間至少有1天,但能造成這種大面積盜取結果的,至少可以推論出:攻擊者拿下了DragonEx盡可能多的權限,更多細節請留意后續披露。[2019/3/26]

Tags:ORCFORFORCEONEORCAAmpleforthFORCE價格onekey閃兌余額不足

波場
PLA:LazyLedger Labs宣布完成150萬美元種子輪融資,Binance Labs等參投_BIT

鏈捕手消息,LazyLedgerLabs宣布完成150萬美元種子輪融資,InterchainFoundation、BinanceLabs、Maven11、KR1、SignatureVenture.

1900/1/1 0:00:00
TRA:盤點 GitHub 2月熱門加密項目,Dogecoin、Freqtrad、Ethminer位列前三_StarkNet

本文系鏈捕手原創文章,作者LonersLiu。近期,GitHub在2月份月報公布了20款最熱門的開源項目,其中排名前10的項目里面有3款與加密貨幣有關,分別是dogecoin、freqtrad、.

1900/1/1 0:00:00
MEV:以太坊的無序時代到來:MEV 會傷害普通用戶利益嗎?_以太坊

本文發布于以太坊愛好者,作者:Kai。設想一種情形:用戶在AMM類型的DEX上做交易,無論設置什么滑點,最終都會在你能接受的最差價格上成交。這可能是個對用戶來說很可怕的場景.

1900/1/1 0:00:00
LEC:解析代幣架構,原來價值代幣這樣“鑄造”_FIL

本文來自火星財經,作者OutlierVentures。牛市正在進行中!當下牛市所引發的新幣熱潮絕對是現象級反應,很多代幣都成為了市場上的熱寵兒.

1900/1/1 0:00:00
MAS:去中心化穩定幣Fei Protocol 創世啟動結束,共募集到 63.9 萬枚 ETH 并鑄造 13 億枚 FEI_NASSR價格

鏈捕手消息,去中心化穩定幣項目FeiProtocol發推特宣布,已結束創世啟動,共募集到63.9萬枚以太坊,鑄造了13億枚FEI,共有1.7萬個唯一地址參與.

1900/1/1 0:00:00
以太坊:V神:以太坊很快會實現100倍擴展,Optimism的Rollup方案預計一個月內上線_roll幣能出坐騎嗎

本文來自于巴比特,作者為Kyle。以太坊聯合創始人VitalikButerin認為以太坊網絡很快將會實現近100倍的擴展,并預測Optimism團隊將在未來幾周內發布其第二層解決方案Optimi.

1900/1/1 0:00:00
ads