比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > UNI > Info

慢霧:黑客在 premint.xyz 網站中通過植入惡意的 JS 文件實施釣魚攻擊_VAULT

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報反饋,7月17日16:00,premint.xyz遭遇黑客攻擊,黑客在premint.xyz網站中通過植入惡意的JS文件來實施釣魚攻擊,欺騙戶簽名setApprovalForAll(address,bool)的交易,從而盜取用戶的NFT等資產。慢霧安全團隊提醒用戶,如果有使用premint.xyz平臺請檢查授權設置并及時取消惡意授權。

慢霧:過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息,據慢霧統計,上周加密領域因遭遇攻擊累計損失3060萬美元,攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜(損失2300萬美元)、Conic Finance遭閃電貸攻擊(損失30萬美元)以及重入攻擊(損失320萬美元)、GMETA發生RugPull(損失360萬美元)、BNO遭閃電貸攻擊(損失50萬美元)等。[2023/7/24 15:55:56]

取消授權的工具:

慢霧:警惕Web3錢包WalletConnect釣魚風險:金色財經報道,慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。

慢霧發現,部分 Web3 錢包在提供 WalletConnect 支持的時候,沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制,因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]

1、https://etherscan.io/tokenapprovalchecker

慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

2、https://revoke.cash/?

惡意的JS文件:

https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658046560357

Tags:ULTVAULTPROASHULTIPvault Financebitopro交易所安卓版DASHI

UNI
跨鏈基礎設施協議 LI.FI 完成 550 萬美元融資,1kx 領投_ITA

鏈捕手消息,據CoinDesk報道,跨鏈基礎設施協議LI.FI完成550萬美元融資,1kx領投.

1900/1/1 0:00:00
Web3 游戲工作室 CLUB 完成 310 萬美元種子輪融資,Zee Prime Capital 領投_CLUB

鏈捕手消息,Web3游戲工作室CLUB宣布完成310萬美元種子輪融資,ZeePrimeCapital領投.

1900/1/1 0:00:00
Web2 開發者如何更好進入 Web3?_AIN

作者:lxcong,Chainbase開發者在進入Web3之前,我先后在Tencent和Bilibili工作了十多年;負責的業務線都是服務開發者的.

1900/1/1 0:00:00
Vitalik:以太坊主網合并升級不會立即完成 PoS 轉換,因此不會很快影響價格_以太坊

鏈捕手消息,VitalikButerin在接受采訪時表示,無論是從市場角度,還包括從心理和敘事角度來看,以太坊價格不太可能在合并之前或之后很快上漲.

1900/1/1 0:00:00
Curve Finance 向 Optimism 申請 100 萬 OP 代幣捐贈_ANC

鏈捕手消息,根據提交的Optimism論壇上的帖子,CurveFinance已經提交了一份關于Optimism的治理提案,以申請授予100萬個OP代幣.

1900/1/1 0:00:00
慢霧:Solana 被盜事件仍有疑點,60% Phantom 被盜錢包原因不明_HAC

鏈捕手消息,慢霧今日發布對Solana攻擊事件的分析中指出,初步篩查出30%用戶被盜原因為SlopeWallet(Android,Version:2.2.2)的sentry服務存在私鑰泄露.

1900/1/1 0:00:00
ads