據慢霧安全團隊情報,SUSHIRouteProcessor2遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:
1.根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查,導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。
慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]
2.由于在合約中并未對Pool是否合法進行檢查,直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。
慢霧:Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息,慢霧監測顯示,Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產,該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移;第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產;第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI,目前有約3970萬美元的加密資產。
目前慢霧經過梳理后,無法將地址3與其他兩個地址連接起來,但這些攻擊具有相同的模式。[2022/8/2 2:53:04]
3.惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數,由于lastCalledPool變量已被設置為Pool,因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。
慢霧:去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息,2022年3月29日,Acutus的ACOWriter合約遭受攻擊,其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控,攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]
4.攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數,以竊取其他已對RouteProcessor2授權的用戶的代幣。
幸運的是部分用戶的資金已被白帽搶跑,有望收回。慢霧安全團隊建議RouteProcessor2的用戶及時撤銷對0x044b75f554b886a065b9567891e45c79542d7357的授權。
埃隆·馬斯克周五要求美國法官駁回狗狗幣投資者對其提起的2580億美元集體訴訟。在向曼哈頓聯邦法院提交的一份文件中,馬斯克及其電動汽車公司特斯拉(TSLA.O)的律師稱,狗狗幣投資者對馬斯克的“無.
1900/1/1 0:00:00L2擴容方案Starknet基金會宣布任命五個委員會,以實現Starknet生態系統的完全去中心化。分別是供應委員會、早期采用者撥款委員會、開發者合作委員會、治理委員會、生態系統準入委員會.
1900/1/1 0:00:00DWFLabs管理合伙人AndreiGrachev在社交媒體上再次回應拋售代幣、洗盤交易等質疑.
1900/1/1 0:00:00zkSync?發推宣布昨日zkSyncEra?網絡宕機詳細公告。由于區塊隊列數據庫發生故障,導致出塊停止。盡管如此,服務器API未受到影響。交易繼續被添加到內存池,查詢服務正常.
1900/1/1 0:00:00來源:Pocketbuff據官方消息,PocketBuff已與以太坊L2擴展鏈ArbitrumNova集成,為用戶提供更好的游戲體驗并加速GameFi行業的發展.
1900/1/1 0:00:00作者:LoopyLu,Odaily北京時間今晚?9?時,ARB空投領取即將開始。目前距離空投申領僅剩約?3個小時.
1900/1/1 0:00:00