據慢霧安全團隊情報分析,SUSHIRouteProcessor2遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:
1.根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查,導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。
慢霧:過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息,據慢霧發推稱,過去一周Web3生態系統因安全事件損失約2400萬美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital,總計23,795,800美元。[2023/6/19 21:46:18]
2.由于在合約中并未對Pool是否合法進行檢查,直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。
慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。
2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。
3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。
4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。
此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]
3.惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數,由于lastCalledPool變量已被設置為Pool,因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。
聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]
4.攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數,以竊取其他已對RouteProcessor2授權的用戶的代幣。
幸運的是部分用戶的資金已被白帽搶跑,有望收回。慢霧安全團隊建議RouteProcessor2的用戶及時撤銷對0x044b75f554b886a065b9567891e45c79542d7357的授權。
今日早些時候報道,SushiSwap項目疑似被攻擊,損失約334萬美元。
據CoinDesk報道,歐盟內部市場專員ThierryBreton表示,歐盟有爭議的規定要求對某些智能合約設置“終止開關”,這可能會限制為該行業設定標準的關鍵能力.
1900/1/1 0:00:00據CoinDesk報道,MulticoinCapital的年度投資者信顯示,該公司的對沖基金在2022年虧損了91.4%。信中將去年的虧損歸因于加密貨幣波動以及FTX崩潰造成的直接和間接影響.
1900/1/1 0:00:00Instagram在其幫助中心發布公告稱,“我們已宣布將逐步結束對數字收藏品的支持。這些變更將于2023年4月11日起開始生效。用戶第三方電子錢包內容不會受到影響.
1900/1/1 0:00:00USDC穩定幣發行商Circle在博客文章中表示:“自從SignatureBank和SilvergateBank倒閉以來,我們團隊一直在夜以繼日地工作以恢復USDC的流動性運營.
1900/1/1 0:00:00據TheBlock報道,聯合國兒童基金會正在測試分散自治組織的概念,以更好地為兒童提供救濟和人道主義援助。該DAO將提供一種更簡單的方式來交流新功能及其對數字公共產品項目的最終資助.
1900/1/1 0:00:00據Cointelegraph報道,GitHub用戶“veryordinally”于4月5日首次披露比特幣原生Ordinals協議存在一個代碼漏洞,該漏洞阻止了1200多個銘文被驗證.
1900/1/1 0:00:00