鏈聞消息,慢霧安全團隊表示,在其中一筆Opyn合約的攻擊中,攻擊者僅使用272ETH最終得到467ETH。完整的攻擊流程如下:攻擊者使用合約先啟動Opyn合約的reateERC20CollateralOption函數創建oToken。合攻擊約調用運動函數,傳入已創建庫的地址。通過exercise函數中用于循環邏輯執行調用兩次_exercise函數。exercise函數調用transferCollateral函數將USDC轉給函數調用者。攻擊合約調用removeUnderlying函數將預先定義的ETH轉出。最終攻擊者拿回了戰斗補充的ETH以及額外的USDC。此次攻擊主要是利用了_exercise函數中對vaultToExerciseFrom是否創建了vault的檢查缺陷。此檢查未糾正vaultToExerciseFrom是否是由參與者自己,而只是簡單的檢查是否創建了vault,導致攻擊者可以任意重置已創建vault的地址來通過檢查。
慢霧:過去一周Web3因安全事件損失約265萬美元:7月17日消息,慢霧發推稱,2023年7月10日至7月16日期間,Web3發生5起安全事件,總損失為265.5萬美元,包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]
慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。
2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。
3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。
4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。
此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]
聲音 | 慢霧余弦:區塊鏈安全漏洞引起的財產損失未來將進一步擴大:據算力智庫微信公眾號文章,公開資料數據顯示,2011-2019年之間,由區塊鏈安全漏洞引起的損失高達84億美元。其中,交易所是重災區,占比近一半。對此,慢霧余弦表示,一方面,交易所的門檻比以往低了很多,而安全防護水平又層次不齊,對于地下黑客來說那就是滿地黃金。此外,這一數據的背后體現了了人們對加密貨幣市場,對區塊鏈的認同。基于這個共識,行業規模擴大,錯誤也隨之放大。未來這一數據增幅還將繼續擴大。對于中心化的交易所而言,會受到傳統行業的攻擊,如服務器、辦公網等,也和公鏈、智能合約有關。每一環都有可能存在的安全問題。他建議把IT建設的預算中拿出15%-20%作為安全預算,其中包括人員的成本維護,殺軟件,防火墻的購置等。但是這并不代表你配置了這些就一定不會被黑。拋開攻防博弈成本去看待這個問題是不客觀的。你每投入一定的比例,那攻擊門檻則相對提高了一個臺階。相對來說你被黑的概率會低很多,但我們這個行業沒有人可以給出這樣的一個永不被黑的承諾。[2019/10/30]
幣海引路人:走出震蕩區間多頭是否會一路向上空軍坐視不理沒有華麗的語言,也沒有動人的情話,只有貨真價實的利潤,大家好,我是幣海引路人.
1900/1/1 0:00:00Hotbit不為任何區塊鏈資產做信用背書,所有相關介紹均來自第三方并有可能存在錯誤與遺漏。區塊鏈資產投資是高風險行為,您必須自行承擔價格有可能歸零的風險,請根據您自身能力謹慎投資.
1900/1/1 0:00:00這城市今晚的風很大,吹走坦蕩與浮夸,總是累的時候想家,孤單的時候想他,就如交易一般,當時提起時痛不欲生,幾年之后,也不過是一場回憶而已,希望我是最好的,是你以后再也遇不到的,重要的人越來越少.
1900/1/1 0:00:00弘文談幣:8.4BTC夜間行情及建議最壞的習慣,是茍安于當下的小利,不知道真正投資的方向,當你能控制自己的情緒時,你就是優雅的,當你能控制自己的心態時,你就是成功的.
1900/1/1 0:00:00早間數據,成交量最高的CME比特幣期貨8月合約今日收跌250美元,收報11370美元,跌幅達2.15%,然而在合約與現貨市場還并未有所波動.
1900/1/1 0:00:00各位老鐵好,我是你們的朋友墨菲言幣公眾號同號,一個普普通通得分析師,分析得文章千千萬萬,你能看到墨菲得文章,說明我的文章和你有緣,寫的文章有不好的地方見諒,覺得好的麻煩點個贊留個言.
1900/1/1 0:00:00