買比特幣 買比特幣
Ctrl+D 買比特幣
ads

EOS:慢霧:DAO Maker Vesting合約遭黑客攻擊,攻擊者獲利近400萬美金_EOS INFINITY

Author:

Time:1900/1/1 0:00:00

巴比特訊,據慢霧區情報,DAOMaker的Vesting合約遭到黑客攻擊。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分發系統,在DAOMaker中進行持有者發行時因DAOMaker合約被攻擊,即SHO參與者的分發系統中出現了一個漏洞:init未初始化保護,攻擊者初始化了init的關鍵參數,同時變更了owner,然后通過emergencyExit將目標代幣盜走,并兌換成了DAI,攻擊者最終獲利近400萬美金。

慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]

黑客利用Vesting合約中的漏洞,將Vesting合約中的代幣提走,如下是簡要分析:

聲音 | 慢霧:EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后,聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現:從昨日開始,存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊,并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施,嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外,確保以下幾點防止其他類型的“假充值”攻擊: 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]

對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息:

聲音 | 慢霧:警惕“假充值”攻擊:慢霧分析預警,如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷,可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS,而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生,但需要注意的是:EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似,更多責任應該屬于平臺方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平臺方如果對自己的充值校驗沒有十足把握,應盡快暫停 EOS 充提,并對賬自查。[2019/3/12]

1.Vesting合約中的init函數(函數簽名:0x84304ad7),沒有對調用者進行鑒權,黑客通過執行init函數成為Vesting合約的Owner。

2.Owner可以執行Vesting合約中的emergencyExit函數,進行緊急提款。

利用同樣的手法其攻擊其他Vesting合約,轉移如下代幣:DeRaceToken(DERC)、Coinspaid(CPD)、CapsuleCoin(CAPS)、ShowcaseToken(SHO)。

Tags:EOSVESVESTESTEOS INFINITYFloki Loves ADAInvestFeedWPT Investing Corp

幣安app官網下載
CREDIT:銀行巨頭富國銀行注冊私人比特幣基金,為富裕客戶提供間接加密投資工具_DIT

原標題:《富國銀行注冊私人比特幣基金,成為最新一家為富裕客戶提供間接加密投資工具的銀行巨頭》據Coindesk援引知情人士的消息報道,富國銀行已在美國證券交易委員會注冊了一個私人比特幣基金.

1900/1/1 0:00:00
ETH:ENVOY Network啟動并完成250萬美元融資_ETHD

巴比特訊,8月12日,數字收藏品平臺ENVOYNetwork宣布今日啟動并獲得250萬美元首輪私募融資.

1900/1/1 0:00:00
SEA:數據:NFT交易平臺Opensea的供應方收入高于其協議收入_SEAH幣

巴比特訊,TokenterMinal數據顯示,NFT交易平臺Opensea的二次銷售賣方費用高于Opensea交易費用。8月供應方收入超過1.936億美元,協議收入超過1.039億美元.

1900/1/1 0:00:00
區塊鏈:一文了解智能合約執行引擎的前世今生_GAS

Solidity作為最早提出的智能合約語言,它的出現為區塊鏈的應用場景打開了新的大門。 ——?緣起—— 智能合約這個術語最早于1994年由跨領域法律學者尼克·薩博?次提出.

1900/1/1 0:00:00
OLY:Poly Network:升級完成后將以去中心化的方式運作,希望黑客能參與到這個進程中來_Polymarket

巴比特訊,8月18日,PolyNetwork發布《寫在PolyNetwork主網上線一周年的一封公開信》表示,白帽黑客與PolyNetwork有著一致的愿景,即在區塊鏈世界里建立一個安全.

1900/1/1 0:00:00
MIN:買NFT不如自己創作?12歲男孩在一天內賺取80枚ETH,他是如何做到的?_YAM

本文來自?Bitcoinist,原文作者:EduardoPrósperoOdaily星球日報譯者|余順遂原標題:《買NFT不如自己創作?12歲男孩在一天內賺取80枚ETH》WeirdWhales.

1900/1/1 0:00:00
ads