慢霧安全團隊對此前7月10日OMNIProtocol閃電貸攻擊事件進行了分析:1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken;2.調用borrow函數借出WETH;3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現,提款會先通過burn函數去燃燒憑證而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數,攻擊者利用這點重入了合約的liquidationERC721函數;4.在liquidationERC721函數中,攻擊者先支付了WETH并接收doodlenft,接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證,同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH,但由于vars變量是在liquidationERC721函數中定義的,因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為;5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識,假如借款標識為false,則不會判斷用戶的負債,故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利
聲音 | 慢霧科技余弦:數字貨幣行業缺乏國家相關的監管背書,有很多的亂象:據《每日經濟新聞》消息,區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析,簡單來說,幣圈的風險主要有兩個。第一個風險是地下黑客,當前的幣圈,無論是基礎設施還是上層建筑都比較脆弱,相對互聯網來說,攻擊者的攻擊成本很低。通過這些攻擊手法,地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管,缺乏國家相關的監管背書,有很多的亂象,比如說各種資金盤、等,這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全,余弦表示,這是一個新的行業,小白投資者應該多學習這個行業的知識,不要只看表面。隨著知識的加深,對很多表面上的包裝、噱頭,自己就會有一些判斷。另外,存儲數字貨幣的手機、電腦,要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣,這是最基本的安全防范。[2019/8/30]
此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題,并且在清算函數中使用的是舊的vars的值進行判斷,導致了即使重入后再借款,但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。
動態 | 慢霧安全團隊發布Mosaic 匿名幣市場研究報告:慢霧安全團隊今日發布Mosaic匿名幣市場研究報告,其中暗網里的結論和我們的研究有些差距,不過整體可做參考(和覆蓋面及暗網的理解有關),比如這里的分析是暗網里的商戶網站(大概 44 個流行的)98% 都接收比特幣,10 家(23%)接收門羅幣,9 家接收比特幣現金,7 家接收萊特幣,4 家接收達世幣,4 家接收以太坊,2 家接收大零幣(Zcash)。這只是暗網商戶的數據統計。
暗網還有類、獨立研究類、黑客組織類、暗網服務類等等。暗網不一定都在 Tor 里,也有在 I2P 里,在獨立的匿名協議應用里,甚至有的表面掛在明網里(但背后許多操作走了 Tor 以保證匿名不可追溯)。
暗網和明網并非都是完全隔離,已經存在許多組合和銜接。暗網的生態應該把這些都考慮進去。如果把惡意蠕蟲的地下世界也考慮進去,會發現有一類蠕蟲叫挖礦蠕蟲,主要挖的幣就是門羅幣,這是因為門羅幣的生態價值及 GPU/CPU 挖礦友好性,導致許多服務器、個人電腦、嵌入式設備都可以拿來挖門羅幣。挖礦出來產生的交易也考慮在內的話,門羅幣在暗網世界的活躍度與生態是第一。Mosaic的研究報告詳情可見原文鏈接。[2019/7/18]
聲音 | 慢霧余弦:MimbleWimble并沒完全解決“交易隱私”問題:區塊鏈安全公司慢霧創始人余弦發微博稱,MimbleWimble并沒完全解決“交易隱私”問題,它讓交易在區塊鏈上不會暴露隱私,這個實現確實很漂亮,但由于它交易的特殊性,這導致相比其他匿名貨幣,基于 MimbleWimble 實現的在鏈下隱私與安全會遭遇更大挑戰。[2019/3/22]
數據隱私平臺Aleo宣布分三個階段推出Aleo測試網3,Aleo測試網3分為3個階段,第1階段已啟動,面向開發人員;第2階段于9月推出,面向證明者;第3階段于10月推出,面向證驗證者.
1900/1/1 0:00:00據TheBlock報道,Aurora上DeFi借貸協議Aurigami通過代幣銷售完成1200萬美元融資,其中950萬美元通過私募銷售籌集.
1900/1/1 0:00:00據官方消息,為迎接第五屆數字中國建設峰會,福建省福州市將發放2000萬元數字人民幣紅包。12日起,20萬個數字人民幣紅包發放活動開啟線上預約.
1900/1/1 0:00:00據law360報道,加密礦業公司Compass已在美國特卡華州大法官法庭起訴其設施供應商Dynamics,指控其違反合同、非法轉化和不當得利.
1900/1/1 0:00:00據麥肯錫最新發布的《ValueCreationinthemetaverse》報告顯示,2022年前五個月中已有超1200億美元資金投資于元宇宙賽道,是2021年570億美元投資額的兩倍多.
1900/1/1 0:00:00美國知名快餐連鎖品牌Chipotle周一宣布將推出一款名為“BuyTheDip”的新互動游戲,該游戲還將贈送超過200,000美元的免費加密貨幣.
1900/1/1 0:00:00