據慢霧安全團隊監測,ETH鏈上的brahTOPG項目遭到攻擊,攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下:
1.攻擊者首先查詢了受害用戶0x392472的余額,接著調用了Zapper合約的zapIn函數。
Animoca Brands以300萬美元出售F1賽車和賽事片段NFT:游戲開發商Animoca Brands宣布,近期在其區塊鏈賽車游戲F1 Delta Time拍賣活動中,唯一一輛Apex澳大利亞版2020賽車在二級市場以12221221 REVV售出,價值約28.8萬美元(43萬澳元),刷新了此前F1 70周年紀念版Apex極致賽車NFT以98.7萬枚REVV(27萬美元)出售的紀錄。與此同時,Animoca Brands還提供了800件Rare Formula 1 2020賽事片段NFT的直接銷售,每件售價為10000 REVV。Animoca Brands已經證實,這些NFT在23分鐘內以800萬枚REVV全部售罄,約合180萬美元(232萬澳元)。(SmallCaps)[2021/3/16 18:48:54]
2.首先函數會為合約轉賬requiredToken參數所指定的代幣,由于該函數傳入的參數是外部可控的,所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。
動態 | 萬事達宣布將退出加密貨幣Libra項目:市場消息,萬事達(MA.N)據悉將退出Facebook(FB.O)旗下加密貨幣Libra項目。(金十)[2019/10/12]
3.接著會調用內部函數zap,在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值,由于第二步的操作所以通過了該檢查。
動態 | 使用區塊鏈瀏覽器Brave的出版商數量于過去1年中增長了1200%:據Decrypt 8月11日消息,BATGrowth監測數據顯示,使用區塊鏈瀏覽器Brave的出版商數量在過去一年中增長了1200%,2018年7月,使用Brave瀏覽器激勵計劃的出版商的數量為18,931,而截至發稿時,其目前的數量超過230,000。這些出版商中有29,278個網站出版商,包括華盛頓郵報;17,417個Twitter出版商;2,917個Reddit出版商;166,698個YouTube出版商和超過12,000個Twitch出版商。[2019/8/13]
4.之后會外部調用假代幣合約的approve函數,該函數為攻擊者惡意構造,是為了給Zapper合約轉賬frax代幣,此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。
5.最后外部調用了swapTarget參數所指定的合約,并且調用所傳入參數也是外部可構造的,所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。
6.攻擊者重復以上步驟,總共攻擊了三次,轉移了三個受害者賬戶下的USDC代幣約889,343枚。
此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題,攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。
慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。
據TheBlock報道,加密貸款公司Nexo曾于今年7月提出以8.5億美元收購陷入困境的競爭對手BlockFi,但未獲成功.
1900/1/1 0:00:00據CoinDesk報道,幣安首席戰略官PatrickHillman表示,幣安作為股權合作伙伴斥資5億美元協助馬斯克收購推特,是希望將該社交媒體平臺作為處理Web3問題的“沙盒”.
1900/1/1 0:00:00針對FTX暴雷事件,以太坊聯合創始人VitalikButerin發文”安全的CEX:償付能力證明“,探討使交易所更接近去信任化的嘗試,這些想法依賴于ZKSNARK和其他先進技術.
1900/1/1 0:00:00FTX官方推特賬號發布“關于第11章法案中未包括的部分實體的說明”。FTX、FTXUS、AlamedaResearch以及其他約135家附屬公司此前宣布已根據美國破產法第11章的破產程序自愿有序.
1900/1/1 0:00:00據Blockworks報道,在業內人士分析FTX倒閉帶來的日益嚴重的后果之際,知名人士紛紛悄悄抹去與FTX前首席執行官SamBankman-Fried一度關系密切的證據.
1900/1/1 0:00:00據Coinbase公布的財報顯示,由于活躍用戶減少,第三季度Coinbase交易收入為3.66億美元,較第二季度下降了44%.
1900/1/1 0:00:00