HER:安全公司慢霧：Punk Protocol被攻擊主要因其未做重復初始化檢查_FORGE

安全公司慢霧對去中心化年金協議PunkProtocol遭遇攻擊的原理進行了解析。攻擊者首先調用CompoundModel合約的Initialize函數進行重復初始化操作將合約Forge角色設置為攻擊者指定的地址。隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中以取得抵押憑證cToken。最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取對應的底層資產并最終將其轉給Forge角色。withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

加密安全公司Unciphered稱已找到攻擊Trezor Model T錢包的方法:5月24日消息，加密安全公司 Unciphered 稱已找到攻擊 Trezor Model T 錢包的方法。Unciphered 表示，其利用了 STM32 芯片的一個無法修補的硬件漏洞，使攻擊者能夠轉儲嵌入式閃存和一次性可編程數據。

Trezor 回應稱，其團隊沒有關于 Unciphered 執行的特定攻擊的足夠詳細信息，無法做出全面回應，但表示它看起來像是RDP downgrade attack，一項三年前被公開標記的風險。[2023/5/25 10:38:20]

動態 | 加密安全公司Fireblock新增針對5個交易所的集成:9月5日，加密安全公司Fireblock宣布增加了對 OKCoin、OKEx、Korbit、Bithub和HitBTC 5個交易所的集成，還擴展了對Huobi Global的API和Deribit的集成，用于確保數字資產的轉移，使其覆蓋的平臺總數達到20個。（prnewswire）[2019/9/6]

聲音 | 網絡安全公司：在消費者不知情的計算機上挖掘加密貨幣的時代已成為過去:據cryptimi消息，網絡安全公司Malw??areBytes近日公布了一份報告。其中顯示，在消費者不知情的計算機上挖掘加密貨幣的行為，已急劇下降至“基本絕跡”的水平。這種攻擊行為常會導致受害者計算機的性能下降，以及增加產生的熱量和降低電池壽命。但報告顯示，該行動現在擴展為更大，更具經濟效益的行動，企業和組織成為了最佳攻擊目標。全世界有300個政府和大學網站被發現在他們的服務上安裝了現已不存在的CoinHive瀏覽器內挖掘加密貨幣軟件的腳本，而他們并不知情。[2019/4/28]

Tags：FORFORGEORGHERDplatform TokenVulcan ForgedORGN幣Bethereum

SAND