買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Gate.io > Info

FORCE:簡析meerkat跑路事件 如何躲避DeFi野礦?_dforce幣最新消息

Author:

Time:1900/1/1 0:00:00

內容來自“大橙子&小同的干貨鋪”的知識星球,作者康納Repeat。

1. AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換

2.AdminUpgradeabilityProxy權限沒有移交timelock一項目方不受時間鎖約束,可以隨意使用1。所說的能力,替換邏輯合約最終項目方無限制地將正常合約替換成了攻擊合約,卷款跑路。

Beosin:Skyward Finance項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,Near鏈上的Skyward Finance項目遭受漏洞攻擊,Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數,導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id,并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near,約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

1.項目方故意“坦誠”給出合約的timelock轉移權限記錄,展示的確執行了changeAdmin方法移交權限給timelock 地址,用于混淆視聽

Beosin:ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道,10月25日,據Beosin EagleEye 安全預警與監控平臺檢測顯示,ULME代幣項目被黑客攻擊,目前造成50646 BUSD損失,黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合約,changeAdmin方法內部調用追蹤到304行,實際寫入key為ADMIN_ SLOT, 但讀取key卻為ADMIN_ SLOT。即O (歐)和0 (零)的一個細微差異,讓changeAdmin方法完全失效,從而達到了已經移交權限的假象

Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]

1.高度警惕任何包含proxy 方式合約的項目,若未經timelock約束,合約有被瞬間替換的風險

2. never trust, always verify! 不要相信項目方給出的timelock“證據”, 對于未經審計的fork項目,務必逐個contract做好與原項目的diff (如果你做到了,就可以躲過meerkat的障眼法)

3.基于1更要養成良好的approve 管理意識,meerkat在跑路后仍然通過無限授權,盜取用戶錢包內資產,窮兇極惡。切勿麻痹大意,你永遠不知道你曾經授權過的土礦,是否包含proxy模式,是否已經替換了惡意合約!

4. timelock是安全底線,無論是HECO的LLC,還是BSC的popcornswap、meerkat,犯罪方式越發隱蔽的,但萬變不離其宗,都是無timelock、假timelock。 珍愛生命,遠離無鎖土礦

昨天案發后幾乎沒有看到個人或團隊有明確解析,考慮到未來模仿犯罪不可避免,索性公開信息希望做到安全教育的目的。老農務必提高自己的姿勢水平,留意此類風險。最后祝大家挖礦出入平安。

Tags:FORFORCEORCPROforth幣有潛力嗎dforce幣最新消息TORCFolder Protocol

Gate.io
比特幣:加密貨幣市場回調是否結束?_Uniswap

比特幣市場經歷了自突破2萬美金歷史高點以來的第二次大幅修正。本周,我們將回顧市場和鏈上指標來分析此次回調相關的數據。本周,比特幣市場開始了突破2萬美元歷史高點后的第二次明顯的修正.

1900/1/1 0:00:00
區塊鏈:金色早報 | 33億美元的比特幣期權今日到期 Coinbase或發幣_加密貨幣是什么意思啊

頭條 ▌33億美元的比特幣期權于今日到期金色財經報道,價值約33億美元的比特幣期權今日到期,此外價值約6.13億美元的以太坊期權也于今日到期.

1900/1/1 0:00:00
EOS:什么是開放藝術?探討融合區塊鏈技術的新藝術范式_ONE

原文標題:《什么是開放藝術?》開放藝術是一種依托密碼學、分布式賬本、分布式存儲等技術,以創作、流通、收藏等領域的開放為特點的數字藝術.

1900/1/1 0:00:00
COI:社區幣代表 DOGE:Meme 正在影響投資邏輯_i9 Coin

"區塊鏈行業極具創新,項目估值數據維度尚未成熟,從業者們仍在對如何建立一個合理估值理論體系進行著探索。"更多數字貨幣愛好者們正在用新的角度審視狗狗幣。狗狗幣社區一向歡樂多.

1900/1/1 0:00:00
區塊鏈:面對監管Ripple、Coinbase 帶給了我們哪些啟示_區塊鏈是什么意思

原標題:這是Ripple、Coinbase和Twitter首席執行官都在重視的一件事對加密貨幣的監管一直對市場產生著影響,在可預見的未來也將是如此.

1900/1/1 0:00:00
PHA:Alpha的AlphaX_ALPHA幣

Alpha不是一個固定的產品從目前看,Alpha的產品主要是杠桿化的流動性挖礦,幫助加密資產(ETH等)提供者賺取收益,幫助流動性挖礦者提高收益,它本質上也是一個借貸市場.

1900/1/1 0:00:00
ads