?Multichain(AnySwap)此前一個影響6個跨鏈Token的關鍵漏洞被利用,導致被盜取445ETH。慢霧安全團隊分析了安全事件經過,
1.用戶可以通過Multichain的AnyswapV4Router合約進行資金跨鏈操作,在進行資金跨鏈時用戶需要將待跨鏈的代幣授權給AnyswapV4Router合約。??
2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函數。此函數允許用戶在鏈下進行授權簽名,鏈上驗證并授權的操作。在此函數中,其會先通過調用用戶傳入的Token地址的underlying函數來獲取underlying代幣地址(正常情況下用戶傳入的Token地址應該是anyToken,獲取underlying代幣應該是用戶要跨鏈的資產,如anyUSDT與USDT),隨后通過underlying代幣的permit函數進行簽名檢查與授權操作,授權完成后通過safeTransferFrom將代幣轉入anyToken合約中,最后通過_anySwapOut觸發事件。??
以太坊客戶端Prysm已通過慢霧安全審計:發現2個低風險和1個建議漏洞:金色財經報道,慢霧(SlowMist)宣布已正式完成了對以太坊共識層客戶端 Prysm 的安全審計服務,發現了2個低風險和1個建議漏洞,目前問題已得到解決,并由審計人員再次審查并通過。Prysm是當前用戶規模最大的以太坊客戶端,目前有超過 42% 的驗證節點都在使用 Prysm 驗證交易,由以太坊核心開發團隊 Prysmatic Labs 開發。[2023/2/23 12:23:48]
3.但由于anySwapOutUnderlyingWithPermit函數中未檢查用戶傳入的token的合法性,且由于WETH代幣不存在permit函數的同時實現了fallback函數,而permit函數接口也恰好沒有返回值,因此在對WETH合約的permit函數進行調用時是不會拋出錯誤的。攻擊者正是利用此問題構造了惡意的Token地址,使得anySwapOutUnderlyingWithPermit函數獲取的underlying為WETH,將先前有將WETH代幣授權給AnyswapV4Router合約的用戶的WETH直接轉移到攻擊者惡意構造的Token地址中。??
慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。
經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]
此次主要是由于anySwapOutUnderlyingWithPermit函數未檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。??
慢霧科技與 OK 資本達成戰略合作:慢霧科技與 OK 資本達成戰略合作,為 OK 資本投資的全球優質區塊鏈創業項目提供智能合約安全審計服務,避免項目出現重大安全問題。此前,慢霧科技也曾對 OK 資本的戰略合作伙伴 OKEx 數字資產交易平臺上的數百個基于以太坊 ERC20 的項目進行過智能合約 batchOverflow 問題的排查,排除安全隱患。[2018/5/25]
參考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d
Tags:ANYSWAPYININGGANY價格Uniswap FinanceYINCOME價格Bgogo Trading
據CoinDesk報道,拉丁美洲最大的電子商務公司MercadoLibre周一證實,將允許巴西用戶購買、出售和持有加密貨幣.
1900/1/1 0:00:00據Tech星球報道,B站正在測試相關元宇宙業務“高能鏈”。區塊鏈是打造元宇宙必不可少的底層技術,B站的元宇宙基于區塊鏈技術。據悉,高能鏈是為新應用、文化、游戲以及數字資產構建的數字原生社區.
1900/1/1 0:00:00據Cointelegragh報道,數字資產托管平臺Fireblocks完成5.5億美元E輪融資,估值達到80億美元.
1900/1/1 0:00:00由球迷控制的另類職業體育聯盟FanControlledFootball完成4000萬美元A輪融資,AnimocaBrands和DelphiDigital領投.
1900/1/1 0:00:00去中心化云計算網絡CUDOS在AIBC歐洲峰會上宣布與非洲領先的農業金融科技公司Tingo達成合作,致力于通過CUDOS的移動設備算力變現軟件,賦能超過900萬尼日利亞人,促進“經濟溫飽”.
1900/1/1 0:00:00波場TRON創始人孫宇晨發布推文稱,自己于6個月前贏得美國太空公司藍色起源“新謝潑德號”首航艙位.
1900/1/1 0:00:00