PRO:安全團隊：Rubic被攻擊事件簡析_TOKEN

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過BeosinTrace追蹤發現被盜資金已經全部轉入了Tornadocash。

安全團隊：BSC上的ORT)項?遭受攻擊:1月17日消息，據Fairyproof監測，BSC上的 OMNI Real Estate Token (ORT) 項?遭受攻擊，攻擊原因疑似為合約代碼有漏洞。

攻擊者地址為：0x9BbD94506398a1459F0Cd3B2638512627390255e，其中?個攻擊合約為

0x0eFfECA3dBCBcda4d5e4515829b0d42181700606，攻擊初始gas來源 FixedFloat熱錢包，攻擊者獲利超過236個BNB，價值約70705美元。

漏洞合約為項?的 StakingPool合約，在 _Check_reward 函數中，當 durations 為0時，條件判斷沒有覆蓋，會返回?個上次的全局變量值（預期外的值），造成獎勵計算錯誤。

攻擊者調?invest函數時， end_date 輸?為0，此時合約未驗證?戶輸?，因此合約可以繼續運?， duration[msg.sender] = 0 ,?在 _Check_reward 函數中也未驗證 durations 的值，并且在 _Check_reward 函數中使?了全局變量來參與計算，多重因素造成了?錯誤的獎勵值。[2023/1/17 11:15:57]

安全團隊：UvToken礦池合約因未檢查用戶傳參合法性導致被黑:金色財經報道，根據安全團隊慢霧區情報，UvTokenWallet Eco Staking 礦池合約被黑，漏洞關鍵原因在于，礦池合約取款函數未嚴格判斷用戶輸入，導致攻擊者可以直接傳入惡意合約地址并利用惡意合約掏空相關資金。慢霧 MistTrack 對資金進行了追蹤溯源分析：截止目前黑客已將獲利資金共計 5,011 BNB 轉移到 Tornado Cash。此外，攻擊的手續費來源同樣為 Tornado Cash。

此前報道，多鏈錢包UvToken遭遇攻擊。[2022/10/27 11:48:38]

安全團隊：周杰倫疑似被釣魚攻擊:4月1日消息，周杰倫在社交媒體上發文確認，曾由好友贈予的無聊猿 BAYC #3738 NFT 被盜。

慢霧安全團隊經過分析發現，周杰倫疑似被釣魚攻擊，其錢包地址（0x71de2...e97a1）在11:02簽名了授權（approve）交易，將NFT的權限授予了攻擊者錢包（0xe34f0...072da），然后攻擊者在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中。與此同時，還有另外2個錢包地址的NFT也被盜以及1個錢包地址的ApeCoin被盜。攻擊者得手后，在LooksRare和OpenSea上將盜取的NFT賣掉，獲得約169.6 ETH。目前資金停留在 0x6E85C...85b15地址上。[2022/4/1 14:31:09]

Tags：PRONFTTOKENSINFootball Fantasy ProNFTBOXfireflytokenSingle Dog Swap Token

火必下載