買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Filecoin > Info

ONES:慢霧分析 Value DeFi vSwap 模塊被黑_ESW

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,幣安智能鏈項目ValueDeFi的vSwap模塊被黑,慢霧安全團隊分析如下:1.攻擊者首先使用0.05枚WBNB通過vSwap合約兌換出vBSWAP代幣;2.攻擊者在兌換的同時也進行閃電貸操作,因此vSwap合約會將兌換的vBSWAP代幣與閃電貸借出的WBNB轉給攻擊者;3.而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的tokenWeight0參數是否為50來選擇不同的算法來檢查池子中的代幣數量是否符合預期;4.由于vSwap合約的tokenWeight0參數設置為70,因此將會采用第二種算法對池子中的代幣數量進行檢查;5.而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;6.第二種算法是通過調用formula合約的ensureConstantValue函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;7.在通過對此算法進行具體分析調試后我們可以發現,在使用WBNB兌換最小單位(即0.000000000000000001)vBSWAP時,池子中緩存的WBNB值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;8.因此攻擊者可以轉入WBNB進行最小單位的vBSWAP代幣兌換的同時,將池子中的大量WBNB代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過vSwap的檢查;9.攻擊者只需要在所有的vSwap池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。

OneSwap智能合約代碼通過慢霧、成都鏈安、PeckShield安全審計:據海外媒體消息,OneSwap已9月6日順利通過智能合約代碼安全審計,此次審計工作由三家業內知名的安全公司慢霧科技,派盾PeckShield,成都鏈安完成。在審計過程中,三家獨立的審計團隊采取自身獨特的策略對OneSwap智能合約代碼進行全方位開展代碼審計工作,以最大程度確保及時發現漏洞。

審計團隊分別從攻擊漏洞測試、合約復雜度分析、代碼通用性、鏈上數據安全、代碼邏輯等方面對OneSwap智能合約代碼進行全方位的測試分析。OneSwap智能合約代碼均符合三家安全公司的安全審核標準,審計中發現的問題目前都已解決或正在解決中。

OneSwap是一個基于智能合約的完全去中心化的交易協議,在CFMM模型的基礎之上引入鏈上訂單簿來改善AMM用戶的交易體驗。上幣無需許可,可支持自動化做市、支持掛單挖礦、流動性挖礦和交易挖礦。據官方消息,Oneswap將在2020年9月7日正式上線并開啟公測。[2020/9/7]

現場 | 慢霧海賊王:保障安全需找專業安全團隊做專業審計:金色財經現場報道,在今日萬向區塊鏈實驗室舉辦的2018區塊鏈·新經濟第四屆區塊鏈全球峰會上,慢霧安全負責人海賊王稱,一筆合法交易的USDT,至少需要滿足以下兩個條件:(1)要通過比特幣的交易來構造,要符合比特幣的余額驗證及交易規則驗證;(2)要通過USDT自己的余額驗證。他總結說,要保障安全,需找專業的安全團隊做專業的審計。[2018/9/10]

金色獨家 慢霧安全團隊:有至少6種途徑導致 EOS 私鑰被盜:針對 EOS 私鑰被盜事件,金色財經特邀請慢霧安全團隊對此事進行解讀,慢霧安全團隊表示:EOS 投票關鍵期頻發私鑰被盜問題,慢霧安全團隊綜合 Joinsec Red Team 攻防經驗及地下黑客威脅情報分析,可能的被盜途徑有:

1、使用了不安全的映射工具,映射使用的公私鑰是工具開發者(攻擊者)控制的,當 EOS 主網上線后,攻擊者隨即 updateauth 更新公私鑰;

2、映射工具在網絡傳輸時沒有使用 SSL 加密,攻擊者通過中間人的方式替換了映射使用的公私鑰;

3、使用了不安全的 EOS 超級節點投票工具,工具開發者(攻擊者)竊取了 EOS 私鑰;

4、在不安全的 EOS “主網”、錢包上導入了私鑰,攻擊者竊取了 EOS 私鑰;

5、用戶存儲私鑰的媒介不安全,例如郵箱、備忘錄等,可能存在弱口令被攻擊者登錄竊取到私鑰;

6、在手機、電腦上復制私鑰時,被惡意軟件竊取。

同時,慢霧安全團隊提醒用戶自查資產,可使用公鑰(EOS開頭的字符串)在 https://eosflare.io/ 查詢關聯的賬號是否無誤,余額是否準確。如果發現異常并確認是被盜了,可參考 EOS 佳能社區 Bean 整理的文檔進行操作 https://bihu.com/article/654254[2018/6/14]

Tags:SWAPEOSESWONESMintySwapEOSCAppleSwap AIJones DAO

Filecoin
ETH:金色觀察 | 如何不賣出代幣也能提現收益?_RETH

如何不賣出代幣也能提現收益?準確把握市場機遇是一件很難的事情。你也許能時不時地抓住,但要永遠做到這一點是不可能的。人們都想預測最高點,試圖在下一個熊市周期之前賣出獲利.

1900/1/1 0:00:00
HOD:拳王泰森與HoDooi.com合作打造NFT領域的eBay_bnft幣的發行量

由Travala.com聯合創始人MattLuczynski推出的NFT市場HoDooi.com宣布,將首次推出重量級拳擊冠軍泰森?弗瑞的NFT系列藏品.

1900/1/1 0:00:00
AME:億萬富翁Mark Cuban:NFT不是泡沫_TYPE

據Decrypt消息,達拉斯小牛隊老板、億萬富翁MarkCuban在以太坊全球峰會上針對“NFT是泡沫嗎?”的問題表示,首先我們得定義泡沫,這不是NFT所表現出來的情況.

1900/1/1 0:00:00
ALPH:關于WBF上線ALPHR的公告_ALPHR

尊敬的用戶: WBF即將在開放區掘金板塊上線ALPHR/USDT交易對,具體上線時間為:充值時間:2021年5月8日14:00交易時間:2021年5月8日14:00提幣時間:2021年5月8日1.

1900/1/1 0:00:00
ABR:幣虎上線Labrador Retriever(LABRA)_SCB

尊敬的用戶: 幣虎將上線LabradorRetriever(LABRA),并在DeFi專區開通LABRA/TCH交易市場.

1900/1/1 0:00:00
區塊鏈:小安論幣:小安炒幣經驗分享_KODACHI幣

第一條:不必計較持有時間的長短,而須重視行情是否到達頂峰。第二條:當幣價上升時,如果一心想追求更高利潤,遲遲不肯在高位賣出自己持有的幣,貪心的結果是時常“錯失良機.

1900/1/1 0:00:00
ads