据慢雾安全团队监测,ETH链上的brahTOPG项目遭到攻击,攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下:
1.攻击者首先查询了受害用户0x392472的余额,接着调用了Zapper合约的zapIn函数。
交易员Peter Brandt:暂停发布有关加密推文,专注于传统市场:11月16日消息,资深交易员Peter Brandt发推表示,将暂停发布有关加密货币市场的推文,并专注于商品和股票等传统市场。Peter表示,他周围的社区声称传统市场更加“成熟”。[2021/11/16 21:55:32]
2.首先函数会为合约转账requiredToken参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。
声音 | Coinmetrics联合创始人:Libra促使政府认真对待加密货币行业:Coinmetrics.io联合创始人Nic Carter在接受采访时表示,Facebook在Libra项目上存在巨大的误判,其提议存在一定的缺陷。“Libra认为它会有这样的储备,我们会用所有这些外国货币和一点点美元来填补它。显然,这会冒犯美国国会。因为美元占所有国际贸易的70%。”他还强调,在Libra宣布之前,政府并没有认真对待数字货币或非主权资产。根据他的说法,当权者低估了比特币等资产的影响力,因为他们没有意识到,非公司项目也可以支撑某种可行资本形式的可信度。最近关于创建美国数字美元的猜测也很激烈,但Nic认为,这样的提议可能不会很快出现。数字资产的便利化会阻碍商业银行部门,这不会让受到美国政府的欢迎。谈到比特币,从整个人类社会的进步感来看,他强调比特币是近年来最关键的创新之一。然而,他认为,区块链的概念并没有得到保证担保。“你需要将计算性、真实的成本附加到将信息包括在分类账上的工作上,以确保信息是好的。”(AMBCrypto)[2019/12/12]
3.接着会调用内部函数zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。
声音 | 大卫·马库斯:Libra实际上可以对资金流动实施更严格的控制:金色财经直播报道,在Libra听证会上,大卫·马库斯表示:如果人们可以更安全、更容易地通过智能手机接收汇款,这就是Libra的用例。如果美国不引领数字货币的创新,其他国家将会这么做。此外,大卫·马库斯暗示,与传统的现金系统相比,Libra实际上可以对资金流动实施更严格的控制,这或许是正确的,但立法者似乎不会相信。[2019/7/16]
4.之后会外部调用假代币合约的approve函数,该函数为攻击者恶意构造,是为了给Zapper合约转账frax代币,此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。
5.最后外部调用了swapTarget参数所指定的合约,并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。
6.攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的USDC代币约889,343枚。
此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。
标签:LIBLIBRAZAPAPPLibre DeFilibra币在哪个交易所ZAPP价格抹茶交易所app下载安卓ios
据TheBlock报道,总部位于纽约的Web3风投公司CoinFund正寻求筹集2.5亿美元,用于投资种子期初创公司.
1900/1/1 0:00:00币安首席执行官赵长鹏发推文称:“Ankr和Hay可能遭到黑客攻击,初步分析是开发人员私钥被黑,黑客将智能合约更新为更恶意的版本。币安几小时前暂停了提款,还冻结了黑客转移到CEX的300万美元.
1900/1/1 0:00:00Web3保险协议InsurAce创始人Oliver今日发推表示,基于InsurAce团队在保险领域一直以来的探索所积累的丰富经验,其目前正在联合相关行业机构和监管机构.
1900/1/1 0:00:00据《巴伦周刊》报道,美国多个州的监管机构正在调查加密交易公司GenesisGlobalCapital是否违反了证券法.
1900/1/1 0:00:00Telegram创始人PavelDurov今日凌晨在该应用程序中的一条消息中表示,正如之前的承诺,现已推出在专用平台Fragment上购买Telegram用户名的功能,用户名拍卖已经开始.
1900/1/1 0:00:00针对pNetwork对Huobi的回应,HuobiGlobal向PANews表示,pNetwork的回应虚假而无力,其通过增发天量代币方式攻击GALA代币漏洞,完全向交易所隐瞒其攻击行为.
1900/1/1 0:00:00