FOR:安全公司:Beanstalk Farms遭黑客攻击,损失已达1.82亿美元

安全公司派盾发推文称,算法稳定币项目BeanstalkFarms遭黑客攻击,初步分析显示,截至4月17日晚上11时,BeanstalkFarms损失约为1.82亿美元,包括79,238,241BEAN3CRV-f、1,637,956BEANLUSD-f、36,084,584BEAN和0.54UNI-V2_WETH_BEAN。启动入侵的初始资金已被撤回至SynapseProtocol,且大部分收益都被存入Tornado.cash。

安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查:据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:

1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。

2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。

3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。

4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。

总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。[2021/8/12 1:51:06]

派盾分析称,此次攻击或源于前一天通过的BIP18,BIP18导致使用治理特权来抽干池资金的精心设计的代码执行。

公告 | Taxa Network已通过区块链安全公司CertiK智能合约安全审计:Taxa团队宣布已通过区块链安全公司CertiK智能合约的安全审计,这将确保Taxa主网在今年春天顺利发布。CertiK的智能标签对TXT智能合约源代码进行了100%形式化验证覆盖,并辅以安全专家人工逐行审核。审计结果认为TXT智能合约结构坚固,不存在整数溢出、函数错误、缓冲区溢出等漏洞。[2020/2/13]

此外,派盾称,BeanstalkFarms攻击者将获利的部分USDC转入乌克兰加密捐赠地址。

声音 | 安全公司PeckShield:Fomo3D游戏存在“薅羊毛”安全漏洞:近日,备受关注的Fomo3D游戏团队核心成员声称,发现了一个足以毁灭以太坊的“核武器”级别漏洞。以太坊基金会开发团队负责人之一Péter Szilágyi在Twitter回复这只是一种符合规范的实现,并非Fomo3D开发者所声称的EVM缺陷;是Fomo3D对该特性的误用导致合约的空投机制出现一个可被“薅羊毛”的安全漏洞。

PeckShield安全研究人员已经确认了该漏洞的存在。具体而言:Fomo3D游戏存在一个随机性的空投机制,用户有较小概率获得官方的空投奖励。攻击者可通过一定的技术手段提高事件的发生概率,进而通过操作获得空投。目前,影响范围已经从Fomo3D扩散至多个具有相似源代码的同类游戏,提醒广大用户和开发者警惕此种攻击行为。[2018/7/24]

来源链接

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:628ms