路杀,“獾”已死
1.2亿美元资金以各种形式的wBTC和ERC20代币被夺走。前端攻击使BadgerDAO损失惨重,被盗金额排DeFi攻击第四。rekt.news再次强调:无限的批准意味着无限的信任--我们知道在DeFi中我们不应该这样做。但是,如果前端被破坏,是否应该期望普通用户能够通过钱包的批准来发现非法的合约呢?一个未知方插入了额外的批准,致使用户将代币发送到了攻击者的地址。从2021年12月2日00:08:23开始,攻击者使用这些错误的信任批准美美饱餐了一顿。当用户的地址被榨干的消息传到Badger时,团队宣布暂停项目的智能合约,恶意交易在开始2小时20分钟左右开始失效。BadgerDAO的目标是将比特币带到DeFi。该项目由各种金库组成,供用户在以太坊上获得wBTC的收益。据悉,绝大多数的被盗资产是金库存款代币,然后被兑现,底层的BTC则被桥接回比特币网络,任何ERC20代币则留在以太坊上。这里总结了被盗资金的当前位置,以供查看。此外,关于该项目Cloudflare账户被泄露的传言也一直在流传,其他安全漏洞也是如此。
Aptos推出Move V1.3,简化跨不同资产的资源管理和降低Gas成本:5月23日消息,Aptos宣布发布Move V1.3,针对Move Objects,该框架简化了跨不同资产的资源管理,开发人员现在可以使用独立于帐户的全局存储来访问和管理异构资产。Aptos表示,这大大简化了开发复杂性,并在可组合性、所有权管理、每个帐户多个资源、事件跟踪、安全权限和持久存储方面解锁了新的可能性。此外,Aptos称,Gas方面Aptos上90%的交易的Gas减少了10倍以上,执行Gas使用量降低了100倍。多签账户(Multisig Account)v2方面,新的多重签名账户提供比原多重签名账户设计更透明的功能。Multi-ed25519身份验证密钥可改善密钥托管和资产安全性,显著改善资金管理和智能合约管理。[2023/5/23 15:21:03]
硅谷“风投教父”建议从硅谷银行撤资,硅谷银行母公司股价大跌60%:3月10日消息,硅谷银行(Silicon Valley Bank)的母公司SVB金融集团股价周四暴跌逾60%,盘后进一步下跌了近20%,因有报道称,包括硅谷“风投教父”彼得·蒂尔的 Founders Fund在内的几家基金建议客户从这家银行撤资款。随着外界对SVB财务稳定性的担忧升温,该基金对这些客户表示,撤资“没有坏处”。
消息人士称,数十家风投公司建议其投资组合的公司从银行撤出资产,而其他风投公司则在推动创始人至少分散持有资金的地方。一位消息人士称,尽管他们使用不同的浏览器和应用程序试图转移资金,但SVB网站部分已经瘫痪。还有人称,现在只能查看账户访问控制,这意味着用户不能取款或转账。
该行CEO今早表示,希望客户能保持冷静,该行拥有充足的流动性来支持客户。(金十)[2023/3/10 12:53:25]
当用户试图进行合法的存款并申请奖励时,这些虚假的批准会被弹出来,以建立一个无限钱包批准的基础,允许攻击者直接从用户的地址转移BTC相关代币。根据Peckshield的说法,黑客地址的第一个批准实例是近两周前。此后任何与平台互动的人,都可能在无意中批准了攻击者盗取资金。
ENS域名24小时交易额超110万美元,OpenSea站内排名第2:7月25日消息,据NFTGo.io数据显示,ENS域名24小时交易额为117.45万美元,增幅363.32%。OpenSea站内24小时交易额排名第2。[2022/7/25 2:35:22]
据悉,共有超过500个地址批准了黑客的地址:0x1fcdb04d0c5364fbd92c73ca8af9baa72c269107请立即检查你的批准情况并在此撤销:etherscan.io/tokenapprovalchecker交易实例:耗尽~900byvWBTC,价值超过5000万美元。受害者在大约6小时前通过increaseAllowance()函数批准了攻击者的地址,致使攻击者可以无限制地花费资金。
Watch to Earn项目Rocket Video完成800万美元种子轮融资,将于7月12号正式发布:7月11日消息,Rocket Video已于今年5月完成800万美元种子轮融资。据悉,Rocket Video定位为Web3的Tiktok,通过将区块链技术与短视频相结合,致力于为Web3.0创作者和内容消费者建立一个全新的互惠分布式创作者经济生态系统。
同时,其App在6月1日已开启内测,在成功经过40多天的Beta版测试之后,该项目将于7月12日正式发布上线,其代币RVT也将于近日上线PancakeSwap。[2022/7/11 2:05:46]
最终,由于Badger的transferFrom()函数的一个"不寻常"的功能,团队暂停了所有活动,防止了资金的进一步流失。
如果像Badger这样声誉卓著的长期项目会被这样打击,而且DeFi中的一些大佬项目也险些遭重,那么DeFi用户就不能对他们最大bags的安全性过于放心。多样化是生存的关键。尽管人们通常强调要检查URL,并确保你与适当的渠道进行互动,但在这种情况下,并不会帮到用户。要知道,前端至少在12天前就被操纵了。那么Badger怎么没有注意到呢?11月28日,一名用户在Discord中标记了可疑的increaseAllowance()批准。
为什么Badger的开发人员没有查到呢?对于有经验的用户来说,这类虚假的批准可能很容易发现,而且在签署交易之前,通过复制/粘贴地址到Etherscan,检查任何合约的有效性都很容易。但是,为了让DeFi达到"大规模采用",这些额外的预防措施必须被简化。在那之前,我们只能多用良好的钱包并审慎行事。本文来自元宇宙之道,星球日报经授权转载。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。