DAO:安全团队:Flurry Finance攻击事件利用了RhoToken代币的rebase机制

Cobo区块链安全团队就FlurryFinance攻击事件进行了分析,发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同,而是利用了FlurryFinance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵,进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用RabbitFinance的StrategyLiquidate合约来执行任意代码的技巧,但这个技巧涉及到的合约代码本身其实并不存在安全问题。

安全团队:0x8fd5开头地址从MakerDAO中撤回5000枚WBTC:金色财经报道,据派盾监测(PeckShieldAlert)数据显示,0x8fd5开头的巨鲸地址从MakerDAO中撤回5000枚WBTC(约8500万美元)。[2022/12/6 21:25:20]

Cobo区块链安全团队提醒,开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。

安全团队:NFT项目POUR KOKO的Discord被入侵:9月17日消息,CertiK监测显示,NFT项目POUR KOKO的官方Discord被入侵,并在项目公告中发布了一个钓鱼链接,用户不要点击。[2022/9/17 7:03:29]

此前消息,2月22日,BSC链上的FlurryFinance遭到闪电贷攻击,导致协议中Vault合约中价值数十万美元的资产被盗。

Cobo区块链安全团队公开0xDAO潜在盗币漏洞发现过程及技术细节解析:4月2日消息,0xDAO v2原计划上线前的几个小时,Cobo区块链安全团队启动对该项目的DaaS投前例行安全评估工作,随后在github开源的项目代码中发现了一个严重的安全漏洞。经评估,如果 0xDAO v2此时继续上线,该漏洞预计会造成数亿美金的资产损失。Cobo区块链安全团队立即启动应急预案,快速通过多个渠道联系到0xDAO项目方,提交该漏洞的完整攻击流程,紧急叫停了项目上线,随后协助0xDAO项目方对该漏洞进行了修复。

日前,0xDAO官方发布推文向Cobo区块链安全团队表示了感谢,并且表示会按照严重漏洞级别给予Cobo区块链安全团队漏洞赏金奖励。[2022/4/2 14:00:31]

来源链接

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:798ms