链捕手消息,去中心化年金协议PunkProtocol在公平启动的过程中遭遇攻击,损失约400万美元,慢雾安全团队以简讯形式将攻击原理分享如下:
?1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。
慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]
?2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
慢雾:PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出,在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。
此前报道,PAID Network今天0点左右遭到攻击,增发将近6000万枚PAID代币,按照当时的价格约为1.6亿美元,黑客从中获利2000ETH。[2021/3/6 18:21:08]
?3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
动态 | 慢雾:Cryptopia被盗资金发生转移:据慢雾科技反(AML)系统监测显示,Cryptopia攻击者分两次转移共20,843枚ETH,价值超380万美元。目前资金仍停留在 0x90d78A49 和 0x6D693560 开头的两个新地址,未向交易所转移。据悉,今年早些时候加密货币交易所Cryptopia遭受了黑客攻击,价值超过1600万美元的以太坊和ERC-20代币被盗。[2019/11/17]
?4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。
总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
标签:FORORGFORGEWALLbikingforscience翻译Invest Like Stakeborg IndexDeFi Forgetrustwallet钱包安全吗
链捕手消息,区块链游戏和NFT开发商AnimocaBrands今日宣布已完成6500万美元融资,融资前估值为22亿美元。LibertyCityVentures、育碧、红杉中国、蜻蜓资本等参投.
1900/1/1 0:00:00链捕手消息,DAOMaker将为最近受黑客事件影响的用户推出补偿计划。所有受黑客攻击影响的用户都将得到全额补偿,补偿计划将分2个阶段进行.
1900/1/1 0:00:00本文来源于吴说区块链。多个消息源对吴说区块链表示,币安全球站正在考虑以2000亿到3000亿美金估值,向新加坡等地政府控制的主权基金吸纳投资,以换取更好的保护。币安对此没有进行回应.
1900/1/1 0:00:00链捕手消息,矿机制造商亿邦国际发布2021财年前六个月未经审计财务业绩:亿邦国际今年上半年总算力为80万Thash/s.
1900/1/1 0:00:00作者:SHIRAZJAGATI,Cointelegraph原标题:《Thelonggame:Institutionalinterestincryptoisjustgettingstarted》编.
1900/1/1 0:00:00链捕手消息,加密交易可视化平台HedgehogTechnologies完成160万美元种子轮融资,以开发加密机器人顾问.
1900/1/1 0:00:00