GALA:慢雾：Numbers Protocol 代币项目存在严重漏洞遭攻击，务必尽快取消授权

据慢雾安全团队情报，ETH链上的NumbersProtocol代币项目遭到攻击，攻击者获利约13,836美元。

慢雾安全团队以简讯形式分享如下：1.攻击者创建了一个恶意的anyToken代币，即攻击合约，该恶意代币合约的底层代币指向NUM代币地址；2.接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数，该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准，之后兑换出拥有授权的用户的底层代币给指定地址。但是由于NUM代币中没有permit函数且拥有回调功能，所以即使攻击者传入假签名也能正常返回使得交易不会失败，导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中；3.接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利；

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

此次攻击的主要原因在于NUM代币中没有permit函数且具有回调功能，所以可以传入假签名跨链桥导致用户资产被非预期转出。(来源链接)

慢雾：pGALA合约黑客已获利430万美元:11月4日消息，安全团队慢雾在推特上表示，pGALA合约黑客已将大部分GALA兑换成13,000枚BNB，获利超430万美元，该地址仍有450亿枚Gala，但不太可能兑现，因为资金池基本已耗尽。此外，黑客的初始资金来自几个币安账户。

今日早些时候消息，一个BNB Chain上地址在BNB Chain上地址凭空铸造了超10亿美元的pGALA代币，并通过在PancakeSwap上售出获利。pNetwork表示此为跨链桥配置错误所致，GALA跨链桥已暂停，请用户不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

慢雾：攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称，通过将交易放在bloxy.info上查看完整交易流程，可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用，但是这两次调用都是独立的，并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着，在第二次“supply()”函数的调用过程中，攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用，最终提现。慢雾安全团队表示，不难分析出，攻击者的“withdraw()”调用是发生在transferFrom函数中，也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显，攻击者通过“supply()”函数重入了Lendf.Me合约，造成了重入攻击。[2020/4/19]

标签：GALAENDALAGALGalaxy FinanceLegends of AriaMetagalaxy LandEscoin Legal Token

中币下载热门资讯