鏈捕手消息,去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊,損失約400萬美元,慢霧安全團隊以簡訊形式將攻擊原理分享如下:
?1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。
慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]
?2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。
慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。
當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]
?3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。
慢霧:Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用:據慢霧區情報消息,2月14日,BSC鏈上的Titano Finance項目遭受攻擊,損失約190萬美元,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。[2022/2/14 9:51:14]
?4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。
總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。
鏈捕手消息,總部位于東京的數字資產管理公司Hyperithm完成1100萬美元B輪融資,Hashed和WemadeTree領投.
1900/1/1 0:00:00鏈捕手消息,在納斯達克上市的比特幣礦企?BitDigital公布了其未經審計的二季度財報。財報顯示,該公司第二季度在市場上購買了3515臺比特幣礦機,目前礦機總量為35000臺,最大算力為1.9.
1900/1/1 0:00:00本文來源于Chainlink。第二屆智能合約峰會SmartCon#1圓滿落下帷幕。我們想要感謝峰會上所有演講和討論嘉賓的精彩發言,以及Chainlink社區成員的熱情支持,感謝大家共同努力,讓這.
1900/1/1 0:00:00鏈捕手消息,硅谷風險投資機構a16z公布了五名新員工,旨在幫助該機構為潛在的投資組合提供應對監管能力以及提供加密原生數據科學和研究服務.
1900/1/1 0:00:00本文來源于《財富》雜志,作者為RobertHackett,并經由胡韜編譯。今日,《財富》雜志發布了以「加密VS華爾街」為主題的系列封面報道,其中在「基于加密的DeFi正在占領華爾街」的報道中,作.
1900/1/1 0:00:00本文作者為錢奕 一.什么是NFT: NFT英文全稱為Non-FungibleToken,翻譯成中文就是:非同質化代幣,具有不可分割、不可替代、獨一無二等特點.
1900/1/1 0:00:00