安全公司：AurumNodePool合約遭受漏洞攻擊簡析_STAKE

金色財經報道，據區塊鏈安全審計公司BeosinEagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。

安全公司：NFT系列Small Bros的Discord服務器被攻擊:12月1日消息，安全公司CertiK Alert發推稱，NFT 系列 Small Bros 的 Discord 服務器已被攻擊，并發布了釣魚鏈接。提醒用戶在修復之前不要點擊任何發布的鏈接。[2022/12/1 21:16:02]

安全公司CertiK提醒已確認NoaSwap由詐騙集團運營:官方消息，安全公司CertiK表示，已確認NoaSwap由負責SheepSwap的同一詐騙集團運行。CertiK提醒用戶保持警惕。[2021/4/11 20:07:42]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

Tags：STASTAKERTSTAKESTARDUSTDefi Shopping StakeCERT立方根pstake幣能漲到多少美元

中幣下載