BTC/HKD-0.21%
ETH/HKD-0.52%
LTC/HKD+0.55%
DOT/HKD+0.68%
ADA/HKD+0.11%
SOL/HKD+0.02%
XRP/HKD-0.29%
DOGE/US-1.41%幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊,慢霧安全團隊解析:這是一次典型的利用閃電貸操作價格的攻擊,其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷,而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式,最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格,使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議,在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。
慢霧:iCloud 用戶的MetaMask錢包遭遇釣魚攻擊是由于自身的安全意識不足:據官方消息,慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析,首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。
MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如 KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標 iCloud 里恢復 MetaMask iOS App 錢包的相關數據。
慢霧安全團隊經過實測通過 iCloud 恢復數據后再打開 MetaMask 錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。[2022/4/18 14:31:38]
慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。
當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]
慢霧:Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日,慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。
1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;
2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;
3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;
4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;
5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;
6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;
7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;
8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;
9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;
10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;
11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]
虛擬形象技術公司Genies亞洲與日本知名游戲企業南夢宮達成合作。據悉,南夢宮知名游戲作品包括吃豆人、太鼓達人、鐵拳等.
Block Chain:2021/5/21 22:28:14火幣全球站數據顯示,DASH短線上漲,突破230美元關口,現報230.03美元,日內漲幅達到6.31%,行情波動較大,請做好風險控制.
Block Chain:2021/5/20 22:26:40火幣全球站數據顯示,LTC短線上漲,突破190美元關口,現報190.01美元,日內跌幅達到7.82%,行情波動較大,請做好風險控制.
Block Chain:2021/5/20 22:23:52據火幣交易平臺數據顯示,IOST今日持續拉升,現報價0.038 USDT,24h漲幅超16%,24h交易量超17億IOST.
Block Chain:2021/5/20 22:26:37金色財經報道,致力于發行和管理數字證券的初創公司Vertalo已經從包括美國加密貨幣交易所Coinbase在內的投資者那里籌集了500萬美元的資金.
Block Chain:2021/5/20 22:22:49據The Daily Hodl 5月21日消息,美國加州一家名為Suncrest的社區銀行正在與監管機構和NYDIG信托公司及富達國家信息服務公司進行談判,以創建一個平臺,允許銀行提供購買、出售和在銀行賬戶中持有比特...
Block Chain:2021/5/21 22:27:22據官方消息,歐易OKEx已于5月21日17:00 (HKT) 正式上線Kusama平行鏈插槽競拍功能,投票開啟時間根據Kusama官方公告另行通知.
Block Chain:2021/5/21 22:29:35伊朗已邀請情報官員參與尋找非法挖礦的加密貨幣礦工,國營電網運營商Tavanir的配電協調員Gholamali Rakhshani Mehr表示,情報官員將協助尋找并沒收無證的挖礦地點.
Block Chain:2021/5/21 22:29:21據最新消息顯示,APENFT (NFT) 已于今日20:00正式登陸火幣全球站優選通道(Huobi Prime).
Block Chain:2021/5/20 22:25:59外媒wccftech報道稱,英偉達RTX 3080Ti/3070Ti兩款新顯卡發布時間確定,將會在5月31日舉辦的COMPUTEX 2021電腦展上正式亮相.
Block Chain:2021/5/21 22:28:505月20日消息,Chainlink Labs加入Hedera Hashgraph治理委員會,成為委員會的第21個成員,并成為管理Hedera分布式賬本的節點之一.
Block Chain:2021/5/20 22:26:55今日,法國貝爾格拍賣行Millon于布魯塞爾舉行首次13件NFT作品的拍賣會。據悉,拍賣會將展出已確認的NFT藝術家,如Maikeul、Fvckrender以及街頭藝術家CesarPiette的作品.
Block Chain:2021/5/20 22:25:11
以太幣交易所
