據慢霧安全團隊情報,SUSHIRouteProcessor2遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:
1.根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查,導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。
慢霧:LendHub疑似被攻擊損失近600萬美金,1100枚ETH已轉移到Tornado Cash:金色財經報道,據慢霧區情報,HECO生態跨鏈借貸平臺LendHub疑似被攻擊,主要黑客獲利地址為0x9d01..ab03。黑客于1月12日從Tornado.Cash接收100ETH后,將部分資金跨鏈到Heco鏈展開攻擊后獲利,后使用多個平臺(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨鏈或兌換被盜資金。截至目前,黑客已分11筆共轉1,100ETH到Tornado.Cash。被攻擊的具體原因尚待分析,慢霧安全團隊將持續跟進此事件。[2023/1/13 11:10:43]
2.由于在合約中并未對Pool是否合法進行檢查,直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。
慢霧:警惕QANX代幣的雙花攻擊風險:據慢霧區消息,近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。
慢霧安全團隊建議已上架此幣種的平臺及時自查,未上架的平臺在對接此類幣種時應注意以上風險。
QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]
3.惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數,由于lastCalledPool變量已被設置為Pool,因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。
慢霧:nanotron安全審計報告是偽造的:慢霧科技發推表示:團隊并沒有對于nanotron進行審計,項目的安全審計報告是偽造的,請注意防范風險。[2020/10/8]
4.攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數,以竊取其他已對RouteProcessor2授權的用戶的代幣。
幸運的是部分用戶的資金已被白帽搶跑,有望收回。慢霧安全團隊建議RouteProcessor2的用戶及時撤銷對0x044b75f554b886a065b9567891e45c79542d7357的授權。
撰文:JosephPolitano編譯:Blockunicorn 在硅谷銀行倒閉后,美聯儲向銀行借出了3000億美元的緊急資金,這是否足夠?自2020年以來.
1900/1/1 0:00:00ChatGPT開發公司OpenAI在其官網中發布了題為《OurapproachtoAIsafety》的文章,介紹了該公司確保AI模型安全性的部署.
1900/1/1 0:00:00由Web3游戲平臺PlanckX主辦,humanDAO、Pexpay、Hambit聯合贊助舉辦的PlanckX2023年首屆鏈游錦標賽圓滿結束已與3月31日圓滿結束,并于近日公布了活動結果.
1900/1/1 0:00:00作者:Darren,EverestVenturesGroup上海升級暫定于4月13日進行,將首次允許驗證者從信標鏈撤出以及提款。相關預期疊加,市場又一次將注意力聚焦于以太坊流動性.
1900/1/1 0:00:00據TechCrunch報道,軟銀正在將其位于韓國的風險投資部門SoftBankVenturesAsia出售給新加坡風險投資公司TheEdgeof.
1900/1/1 0:00:00撰文:Will阿望,元宇宙之道美國無疑是全球?Web3?行業的領導者,其對科技創新的包容及鼓勵誕生了無數?Web3?領域的龍頭項目.
1900/1/1 0:00:00