據慢霧區情報,2022年3月10日,BSC鏈上的DOD項目中鎖定的BUSD代幣被非預期的取出。
分析如下:1.DOD項目使用了一種特定的鎖倉機制,當DOD合約中BUSD數量大于99,999,000或DOD銷毀數量超過99,999,000,000,000或DOD總供應量低于1,000,000,000時將觸發DOD合約解鎖,若不滿足以上條件,DOD合約也將在五年后自動解鎖。DOD合約解鎖后的情況下,用戶向DOD合約中轉入指定數量的DOD代幣后將獲取該數量1/10的BUSD代幣,即轉入的DOD代幣數量越多獲得的BUSD也越多。2.但由于DOD代幣價格較低,惡意用戶使用了2.8個BNB即兌換出99,990,000個DOD。3.隨后從各個池子中閃電貸借出大量的BUSD轉入DOD合約中,以滿足合約中BUSD數量大于99,999,000的解鎖條件。4.之后只需要調用DOD合約中的swap函數,將持有的DOD代幣轉入DOD合約中,既可取出1/10轉入數量的BUSD代幣。5.因此DOD合約中的BUSD代幣被非預期的取出。
慢霧:過去一周Web3因安全事件損失約265萬美元:7月17日消息,慢霧發推稱,2023年7月10日至7月16日期間,Web3發生5起安全事件,總損失為265.5萬美元,包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]
本次DOD合約中的BUSD代幣被非預期取出的主要原因在于項目方并未考慮到DOD低價情況下與合約中鎖定的BUSD將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。
慢霧:遠程命令執行漏洞CVE-2023-37582在互聯網上公開,已出現攻擊案例:金色財經報道,據慢霧消息,7.12日Apache RocketMQ發布嚴重安全提醒,披露遠程命令執行漏洞(CVE-2023-37582)目前PoC在互聯網上公開,已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺,提供高效、可靠、可擴展的低延遲消息和流數據處理能力,廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務,注意風險。漏洞描述:當RocketMQ的NameServer組件暴露在外網時,并且缺乏有效的身份認證機制時,攻擊者可以利用更新配置功能,以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]
慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用:據慢霧區情報消息,2月14日,BSC鏈上的Titano Finance項目遭受攻擊,損失約190萬美元,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。[2022/2/14 9:51:14]
據Cointelegraph報道,NFT市場OpenSea封禁伊朗用戶。OpenSea發言人表示,服務條款明確禁止受制裁的用戶或受制裁地區的用戶使用OpenSea的服務.
1900/1/1 0:00:00據TheBlock報道,MicroStrategy首席執行官MichaelSaylor和方舟投資首席執行官木頭姐CathieWood在邁阿密比特幣2022大會上舉行了一次爐邊談話.
1900/1/1 0:00:00據CoinDesk報道,波卡借貸協議開發團隊LunarLabs周四宣布完成1000萬美元融資,以推動MoonwellArtemis項目的開發.
1900/1/1 0:00:00據CoinDesk報道,比特幣礦企MawsonInfrastructure與加密借貸公司CelsiusNetworks的子公司CelsiusMining簽署了一項新的100MW托管協議.
1900/1/1 0:00:00據財聯社報道,名為“唯一藝術NFT”的微信小程序被騰訊封禁,原因是小程序實際所提供的“數字藏品”服務屬于尚未開放的服務類目.
1900/1/1 0:00:00據官方消息,NFT寵物游戲平臺Vmates宣布將于今日18:00上線Beta測試,游戲將面向于所有玩家開放,并將逐步開放PvP模式。屆時玩家可以賺取代幣以及經驗獎勵,同時還有機會獲得空投獎勵.
1900/1/1 0:00:00