比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:Optimism 最大 NFT 平臺 Quixotic 出現漏洞,大量用戶資產被盜_PRO

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧安全團隊情報,2022年7月1號,Optimism生態最大NFT平臺Quixotic出現嚴重漏洞,大量用戶資產被盜,提醒在該市場上進行過交易的用戶盡快取消授權。

慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

據悉,平臺在市場合約的fillSellOrder函數中僅對賣單進行了檢查,并未對買家的買單做檢查。故攻擊者首先創建了任意的NFT合約,調用fillSellOrder函數生成賣單,將buyer參數傳為受害者地址、paymentERC20參數傳為需要盜取的代幣地址,即可將對該市場合約有授權的用戶的代幣轉走獲利。

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

用戶可利用Optimism官方瀏覽器的授權管理功能https://optimistic.etherscan.io/tokenapprovalchecker查看或者取消授權。

聲音 | 慢霧:99%以上的勒索病使用BTC進行交易:據慢霧消息,勒索病已經成為全球最大的安全威脅之一,99%以上的勒索病使用BTC進行交易,到目前為止BTC的價格已經漲到了一萬多美元,最近一兩年針對企業的勒索病攻擊也越來越多,根據Malwarebytes統計的數據,全球TO B的勒索病攻擊,從2018年6月以來已經增加了363%,同時BTC的價格也直線上漲,黑客現在看準了數字貨幣市場,主要通過以下幾個方式對數字貨幣進行攻擊:

1.通過勒索病進行攻擊,直接勒索BTC。

2.通過惡意程序,盜取受害者數字貨幣錢包。

3.通過數字貨幣網站漏洞進行攻擊,盜取數字貨幣。[2019/8/25]

Tags:ULTVAULTBNBPRODeVaultBAKC Vault (NFTX)togetherbnb可以和誰嘿嘿Onomy Protocol

以太坊交易
詳述以太坊合并進展及合并后的 MEV 與礦工_MEV

撰文:AmberGroup編譯:ChinaDeFi 提要 合并明顯的改變了以太坊的貨幣政策,以太坊發行減少了約90%.

1900/1/1 0:00:00
無聊猿 BAYC 向藝術家 Ryder Ripps 宣戰,會適得其反嗎?_LABS

原文標題:《「無聊猿」BAYC的內憂與外患》撰文:SanderLutz 編譯:Moni 一位知名藝術家聲稱,地球上最大的NFT品牌是由納粹支持者秘密經營的.

1900/1/1 0:00:00
借貸協議 Aurigami 通過代幣銷售完成 1200 萬美元融資,Dragonfly Capital 和 Polychain Capital 領投_PLE

鏈捕手消息,據TheBlock報道,Aurora借貸協議Aurigami通過代幣銷售完成1200萬美元融資,其中950萬美元是通過私募代幣銷售籌集的.

1900/1/1 0:00:00
Synthetix 交易量大增背后,原子交換的潛力或仍未完全釋放_SYN

作者:蔣海波,PANews根據CryptoFees.info的數據,截至6月30日,Synthetix過去一周平均每天的收入為30.17萬美元,除去智能合約平臺外.

1900/1/1 0:00:00
淺析 Web3 游戲隨機性:如何利讓隨機因素重新贏得玩家信任?_AME

撰文:EmilyCockley,《RedefiningTrust:TrulyRandomGaming》編譯:Xinyang,DAOrayaki 隨機性的魔力 自古代文明以來.

1900/1/1 0:00:00
7 O’Clock Capital:漫談 GameFi 前世今生,細梳 GameFi 生態全景(上)_EFI

作者:?Luca,7O’ClockCapitalGameFi概念最早由MixMarvel首席戰略官MaryMa在2019年下半年烏鎮峰會的演講中提出,即游戲化金融和全新游戲化商業.

1900/1/1 0:00:00
ads