以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 火必 > Info

慢霧:Solana 被盜事件仍有疑點,60% Phantom 被盜錢包原因不明_SWAP:WBNB

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,慢霧今日發布對Solana攻擊事件的分析中指出,初步篩查出30%用戶被盜原因為SlopeWallet(Android,Version:2.2.2)的sentry服務存在私鑰泄露。60%被盜用戶使用的是Phantom錢包,其被盜原因暫未查明。慢霧表示,如果你有任何的思路歡迎一起討論,希望能一起為Solana生態略盡綿薄之力。以下是具體疑問點:

慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]

1.Sentry的服務收集用戶錢包助記詞的行為是否屬于普遍的安全問題?

慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;

2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;

3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;

7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;

9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

2.Phantom使用了Sentry,那么Phantom錢包會受到影響嗎?

聲音 | 慢霧:Ghostscript存在多個漏洞:據慢霧區消息,Google Project Zero發布Ghostscript多個漏洞預警,遠端攻擊者可利用漏洞在目標系統執行任意代碼及繞過安全限制。Ghostscript 9.26及更早版本都受影響。軟件供應商已提供補丁程序。[2019/1/24]

3.另外60%被盜用戶被黑的原因是什么呢?

4.Sentry作為一個使用非常廣泛的服務,會不會是Sentry官方遭遇了入侵?從而導致了定向入侵虛擬貨幣生態的攻擊?

Tags:SWAPVSWBNBWBNBeSwappingValuedefi vSWAP賽博之王BNB鏈wbnb和bnb區別和聯系

火必
演化中的 Web3 游戲_WEB:okx

撰文:藍狐筆記 Web3游戲不可避免的到來目前游戲作為數字時代人們娛樂的最主要方式之一,正在創造極大的產值,在2021年,其中光是超過1億美元年收入的手機游戲就達到174個.

1900/1/1 0:00:00
晚報 | 0xb1 披露真實身份并揭露 Celsius 暴雷內幕;Alameda 已歸還 Voyager 貸款并取回抵押品_ELS:CEL

整理:餅干,鏈捕手 “過去24小時都發生了哪些重要事件”?1、0xb1正式披露真實身份,曾為Celsius管理數億美元資產并產生法律糾紛知名推特賬戶0xb1今日發推公布其真實身份.

1900/1/1 0:00:00
《我的世界》:禁止在客戶端和服務器應用程序中集成區塊鏈技術_BTC:nec幣交易行情

鏈捕手消息,微軟旗下大型多人在線沙盒游戲Minecraft發布公告表示,為確保Minecraft玩家擁有安全和包容的體驗,區塊鏈技術不得集成到Minecraft客戶端和服務器應用程序中.

1900/1/1 0:00:00
NFT 租賃基礎設施 reNFT 完成 500 萬美元融資,Mechanism、gumi Cryptos Capital 領投_BEAR:NFT

鏈捕手消息,NFT租賃基礎設施reNFT宣布完成500萬美元戰略融資,本輪融資由Mechanism和gumiCryptosCapital(gCC)領投.

1900/1/1 0:00:00
彭博社:三箭資本創始人未在危機爆發前撤資,因死亡威脅迫使其躲藏_FTX:元宇宙

鏈捕手消息,據彭博社報道,三箭資本創始人SuZhu和KyleDavies在一個秘密地點發表講話,稱其加密投機引發了對本不應該提供的貸款的級聯保證金要求.

1900/1/1 0:00:00
隱私計算網絡 Oasis 宣布「Sapphire」現已上線測試網,推出首個 EVM 兼容的隱私 ParaTime_ASI:Eternal Oasis

鏈捕手消息,隱私計算網絡Oasis宣布第一個與EVM兼容的隱私ParaTime「Sapphire」現已上線測試網.

1900/1/1 0:00:00
ads