比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 火幣APP > Info

慢霧:Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害_SPT

Author:

Time:1900/1/1 0:00:00

據慢霧區情報反饋,Moonbirds發布安全公告,NestingContract存在安全問題。當用戶在OpenSea或者LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行nesting(筑巢)來禁止NFT售賣,而是要在交易市場中下架相關的NFT售賣訂單。否則在某個特定場景下買家將會繞過Moonbirds在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議Moonbirds用戶自行排查已nesting(筑巢)的NFT是否還在NTF市場中上架,如果已上架要及時進行下架。更多的漏洞細節請等待Moonbirds官方的披露。

慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]

慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;

2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]

Tags:BNBWBNBSPTSWAPElastic BNBwbnb是騙局嗎TSPT幣SafeMoon Swap

火幣APP
\"空投享不停: 註冊即瓜分 5,000 USDT,充值及交易8V返還1%的TRX!\" 活動結束

親愛的8V用戶: "空投享不停:注冊即瓜分5,000USDT,充值及交易8V返還1%的TRX!"活動已結束,8V已對滿足活動要求的獲獎用戶發放獎勵,請注意查收獎勵.

1900/1/1 0:00:00
波卡Staking改進路線圖中關鍵功能的提名池是什么?(下)_LAS

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
WEEX唯客跟單系統正式公測 :開拓交易無限可能_ART

隨著2019年去中心化金融的興起,合約交易也逐漸成為了加密市場的主流。數字資產的崛起,大量交易所紛紛將其發行的平臺幣融入到衍生品交易環節當中去,嘗試挖掘更多價值.

1900/1/1 0:00:00
當前市場經濟下滑,那蒸發的這些錢又都去那了呢?_OIN

當前幣圈行情下跌,市場經濟下滑那這些錢又都去那了呢?是憑空消失了嗎? 今天正咱們就來講講! 這個錢本來就是不存在的所以也就無消失這一說.

1900/1/1 0:00:00
Web3時尚解決方案提供商Bold Metrics完成800萬美元A輪融資_TUR

金色財經報道,舊金山Web3時尚解決方案提供商BoldMetrics宣布完成了一筆800萬美元的A輪融資,BessemerVenturePartners領投.

1900/1/1 0:00:00
估值和 DeFi 狀態,一文詳解_EFI

今天,我們比較了從去年夏天到現在關鍵DeFi指標的變化。了解每個細分市場的概述,討論一些關鍵的敘述 讓我們深入挖掘。 概述 去年夏天的DeFi很簡單。區塊鏈上的核心金融原語.

1900/1/1 0:00:00
ads