據慢霧區消息,去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊,慢霧安全團隊以簡訊形式將攻擊原理分享如下:
1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。
慢霧:針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道,SlowMist發布安全警報,針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket,感染鏈由一個 macOS 安裝程序組成,該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件,該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]
2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。
慢霧:Badger DAO黑客已通過renBTC將約1125 BTC跨鏈轉移到10 個BTC地址:12月2日消息,Badger DAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。據慢霧MistTrack分析,截止目前黑客已將獲利的加密貨幣換成 renBTC,并通過renBTC 將約 1125 BTC 跨鏈轉移到 10 個 BTC 地址。慢霧 MistTrack 將持續監控被盜資金的轉移。[2021/12/2 12:46:11]
3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。
慢霧:Furucombo被盜資金發生異動,多次使用1inch進行兌換:據慢霧MistTrack,2月28日攻擊Furucombo的黑客地址(0xb624E2...76B212)于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH,并將147ETH從Compound轉入到自己的地址,截至目前該黑客地址余額約170萬美元,另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]
4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。
總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。
巴比特訊,9月2日,Twitter旗下短視頻共享應用Vine的聯合創始人DomHofmann發推表示,將對所有以太坊地址推出合成Loot代幣.
1900/1/1 0:00:00加納是少數幾個在Crypto領域活躍的非洲國家之一,該國正在采取具體措施促進Crypto領域的創新.
1900/1/1 0:00:00巴比特訊,日前,黃酒“老字號”會稽山在支付寶上線“數字酒莊”業務,基于區塊鏈探索新的數字化新零售模式.
1900/1/1 0:00:00原標題:《如何理解Paradigm的乘方永續合約?》頂級投資機構Paradigm在上周發布了一篇介紹新型金融衍生品「乘方永續合約」的論文.
1900/1/1 0:00:00據Cointelegraph8月16日消息,在微軟研究部門發布的一篇新論文中,在阿里巴巴和卡內基梅隆大學的研究人員的參與下,這家總部位于雷德蒙德的軟件巨頭研究了一種基于區塊鏈的激勵系統.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00