以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > FIL幣 > Info

慢霧預警:ADX合約設計疑似存在“后門”風險_USDC:USD

Author:

Time:1900/1/1 0:00:00

安全公司慢霧發布安全預警稱,ADX合約設計疑似存在“后門”風險。具體細節為:在合約中grantVestedTokens方法寫了轉賬是否可以允許被revoke,可以在grants這個mapping中或者tokenGrant中查到用戶生成的這個TokenGrant到底允不允許revoke,如果是允許revoke則要慎重,用戶可以通過revokeTokenGrant撤回,這樣holder就會受到損失,代幣可能會回到原本用戶的余額上或者轉到0xdead,這取決于burnsOnRevoke的值。ADX項目業務設計比較特殊,如果在對接交易所的話,沒有說明對接的方式,以及一些特殊方法的調用和判斷,會造成交易所損失,請交易所注意對接時候相關細節處理。

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

慢霧科技創始人余弦:安全的預算需要占到全年預算的20%左右:針對最近出現的安全問題,慢霧科技創始人余弦在微博上表示:給加密貨幣行業一個中肯建議:這個行業,自帶金融屬性,無國家安全力量保障,盜幣溯源有很難。安全的預算需要占到全年預算的20%左右,這比例一部分(可能是大部分)是內部安全成本消耗,一部分是給第三方職業安全團隊(如慢霧),一部分是給社區的白帽黑客。另外,做個安全應急準備金,黑天鵝出來后,可以拿來做些彌補及挽救支持的。既然喊了安全第一,既然安全也是區塊鏈三大必備基礎元素之一,那就這樣干,不應該有任何的猶豫和幻想。[2020/4/20]

Tags:DAIUSDSDTUSDCDAILYS幣CZUSD幣泰達幣usdt官網下載AUSDC價格

FIL幣
關于幣虎交易所孵化交易平臺加大BHEC流通場景公告_數字貨幣:AAVE

尊敬的BihuEx用戶:幣虎全球交易所擬孵化約30家交易平臺,已與相關人員推進合作。平臺覆蓋柬埔寨,菲律賓,臺灣,新加坡,日本,波蘭,德國,英國等地.

1900/1/1 0:00:00
BTC高位區間震蕩 其余幣種迎來補漲機會_MIN:MINA

從Bitfinex網BTC多空比走勢可以看出,自18年3月以來多空比值一直處于長期下降通道中,近期在BTC持續拉升至上方強壓區而并未出現深度回調的形勢下,該比值已快速下探并創出歷史新低0.58.

1900/1/1 0:00:00
盤圈 一個美麗的泡沫 早晚會破_Camelot:比特幣價格實時行情軟件

本著負責,專注,誠懇的態度用心寫每一篇分析文章,特點鮮明,不做作,不浮夸!本內容中的信息及數據來源于公開可獲得資料,力求準確可靠,但對信息的準確性及完整性不做任何保證,本內容不構成投資建議.

1900/1/1 0:00:00
深度丨跨越千年的規律:看漲比特幣的理由_GOX:比特幣

VijayBoyapati文本文由幣信原創編譯,原文鏈接:https://medium.com/@vijayboyapati/the-bullish-case-for-bitcoin-6ecc8.

1900/1/1 0:00:00
比特幣站上8000美元 卻救不了華強北的“礦機”經銷商_比特幣:BREE

“比特幣雖然漲到了8000,但我們不敢輕易勸客戶下單。”深圳華強北賽格電子廣場四樓,一位礦機商鋪銷售經理龐先生向互鏈脈搏表示,“萬一價格跌了,我們都不好跟客戶交代.

1900/1/1 0:00:00
幣世界DApp活躍度梳理:三大公鏈DApp昨日活躍用戶量總計193,468個_RON:eos幣柚子已經確定跑路

據DAppTotal.com05月09日數據顯示,昨天,ETH/EOS/TRON三大公鏈DApp單日活躍用戶共有193,468個,其中EOS公鏈占比76.36%,表現最佳.

1900/1/1 0:00:00
ads