安全公司慢霧：Punk Protocol被攻擊主要因其未做重復初始化檢查_AST:FOR

安全公司慢霧對去中心化年金協議PunkProtocol遭遇攻擊的原理進行了解析。攻擊者首先調用CompoundModel合約的Initialize函數進行重復初始化操作將合約Forge角色設置為攻擊者指定的地址。隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中以取得抵押憑證cToken。最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取對應的底層資產并最終將其轉給Forge角色。withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

安全公司：GigaChads DAO疑似出現Rug pull，CHAO代幣價格暴跌80%:9月16日消息，據CertiK預警監測，GigaChads DAO項目疑似出現Rug pull，CHAO代幣價格暴跌80%。合約部署者鑄造了大量代幣然后將其出售，請保持警惕。[2022/9/16 7:00:22]

安全公司：Fastjson全版本遠程代碼執行漏洞曝光:據降維安全實驗室報道，Fastjson <=1.2.68全版本存在反序列化漏洞，利用該漏洞，黑客可遠程在服務器上執行任意代碼直接獲取服務器權限。此漏洞異常危險，降維安全實驗室建議使用了該java庫的相關交易所及企業及時將Fastjson升級至1.2.68版本、打開SafeMode、并持續關注fastjson官網等待1.2.69版本的更新并立即升級以防止被攻擊。更多詳細細節和緩解措施請聯系降維安全實驗室。[2020/5/28]

網絡安全公司演示：1.5萬臺被劫持的聯網設備或被迫在4天內挖出1000美元數字貨幣:捷克網絡安全公司Avast周三在西班牙舉行的移動世界大會上進行了一次示范，證明了安全攝像頭、智能手機等脆弱的聯網設備可以被黑客劫持用于數字貨幣挖礦，15000臺被劫持的聯網設備將需要在4天內“挖出”價值1000美元的數字貨幣。盡管1000美元數額不高，但潛力巨大。據研究公司Gartner預測，到2020年將有超過200億臺聯網設備，這意味著可能受到攻擊的設備數量將會高得多。[2018/3/1]

Tags：ORGFORFORGEASTOrganixVotes PlatformFORGE幣MAST

歐易交易所app官網下載