据慢雾安全团队情报,ETH链上的NumbersProtocol代币项目遭到攻击,攻击者获利约13,836美元。慢雾安全团队以简讯形式分享如下:
1.攻击者创建了一个恶意的anyToken代币,即攻击合约,该恶意代币合约的底层代币指向NUM代币地址;
慢雾:攻击Ronin Network的黑客地址向火币转入3750枚 ETH:3月30日消息,慢雾发推称,攻击Axie Infinity侧链Ronin Network的黑客地址向交易所火币转入3750枚ETH。此前金色财经报道,Ronin桥被攻击,17.36万枚ETH和2550万USDC被盗。[2022/3/30 14:26:38]
2.接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。但是由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
3.接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利;
慢雾:Furucombo被盗资金发生异动,多次使用1inch进行兑换:据慢雾MistTrack,2月28日攻击Furucombo的黑客地址(0xb624E2...76B212)于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH,并将147ETH从Compound转入到自己的地址,截至目前该黑客地址余额约170万美元,另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]
此次攻击的主要原因在于NUM代币中没有permit函数且具有回调功能,所以可以传入假签名跨链桥导致用户资产被非预期转出。
参考攻击交易:https://etherscan.io/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32
据CoinDeskKorea报道,韩国央行金融结算局电子金融调查组今日发布题为“加密资产监管相关的关键问题和立法方向”的报告,报告认为,有必要在韩国引入加密资产的IE0系统.
1900/1/1 0:00:00据彭博社报道,已申请破产的加密借贷平台CelsiusNetwork的审查员ShobaPillay发布的一份中期报告详细说明了该公司为客户保管的数字资产相关的两种产品在会计控制和运营方面的缺陷.
1900/1/1 0:00:00据Blockworks报道,消息人士透露,币安CEO赵长鹏有意收购Genesis的贷款。一位知情人士表示,赵长鹏已开始收集有关Genesis资产负债表状况的更多信息,因为他正在考虑收购Genes.
1900/1/1 0:00:00据官方公告,MystenLabs开发的Layer1公链Sui宣布启动测试网TestnetWave1,该测试网侧重于运营商,特别是验证者和全节点运营方.
1900/1/1 0:00:00据雅虎财经报道,稳定币跨境支付网络Arf宣布完成1300万美元融资,CircleVentures、StellarDevelopmentFoundation、UnitedOverseasBankV.
1900/1/1 0:00:00据TheBlock报道,根据提交给证券和衍生品交易所CboeAustralia的文件显示,在加密市场持续萎靡的情况下,三个澳大利亚加密交易所交易基金(ETF)打算将其产品退市.
1900/1/1 0:00:00