BTC/HKD-0.33%
ETH/HKD-0.47%
LTC/HKD+1.49%
DOT/HKD+0.88%
ADA/HKD+1.98%
SOL/HKD+1.51%
XRP/HKD+0.35%
DOGE/US+2.02%10月2日消息,據慢霧安全團隊情報,2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊,導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元,黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析:
1. 當用戶在Transit Swap進行swap時,會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。
2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入,本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。
3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作,但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入,路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。
4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址,未對 calldata 數據進行具體檢查。
5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據,此時兌換合約被指定為權限管理合約地址,兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。
此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。
截止到目前,黑客已將 2,500 BNB 轉移到 Tornado Cash,剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現,黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。
安全團隊:批準未知來源的代幣時請仔細檢查交易的 gas limit:金色財經報道,據慢霧區情報,BSC 鏈上最近出現一個名為 GPT 的代幣,合約地址為0x513C285CD76884acC377a63DC63A4e83D7D21fb5。當用戶對該代幣進行 approve 操作時,錢包會根據余額增大 gas limit,而該代幣合約會使用用戶的 gas 去鑄造 CHI 代幣,當合約收集夠大量的 CHI 代幣后,這個惡意代幣合約的管理者就可以通過燃燒掉 CHI 代幣獲得合約摧毀時返還的 gas 補償。
慢霧安全團隊提醒用戶在對未知來源的代幣進行批準時仔細檢查交易的 gas limit。[2023/3/28 13:31:05]
安全團隊:包含遠程訪問木馬“Parallax RAT”的惡意軟件正以加密公司為目標:3月1日消息,安全分析平臺Uptycs在一份新報告中表示,加密貨幣公司正成為一項新型惡意軟件的目標,該軟件中包含了一種名為Parallax RAT的遠程訪問木馬。據悉,此軟件使用注入技術隱藏在合法進程中,很難被發現。一旦成功注入,攻擊者就可以通過Windows記事本與受害者進行互動,這可能是一個通信渠道。Parallax RAT允許攻擊者遠程訪問受感染設備,具有上傳和下載文件以及記錄擊鍵和屏幕截圖等功能。除了收集系統元數據,Parallax RAT還能夠訪問存儲在剪貼板的數據,甚至遠程重啟或關閉受感染設備。[2023/3/1 12:36:18]
現場 | 慢霧海賊王:保障安全需找專業安全團隊做專業審計:金色財經現場報道,在今日萬向區塊鏈實驗室舉辦的2018區塊鏈·新經濟第四屆區塊鏈全球峰會上,慢霧安全負責人海賊王稱,一筆合法交易的USDT,至少需要滿足以下兩個條件:(1)要通過比特幣的交易來構造,要符合比特幣的余額驗證及交易規則驗證;(2)要通過USDT自己的余額驗證。他總結說,要保障安全,需找專業的安全團隊做專業的審計。[2018/9/10]
9月26日消息,據cryptoslam最新數據顯示,粉絲Token累計成交額已突破1000億美元,截止目前為100,041,757,902美元.
Block Chain:2022/9/26 22:31:01金色財經報道,根據TipRanks的數據,截至9月25日,LTC持有者中仍處于盈利狀態的比例為14%,而高達74%的持有者處于虧損狀態,其余12%的持有者則收支平衡。 此外,超過一半的ETH持有者(51%)處于盈利狀...
Block Chain:2022/9/26 7:21:18金色財經報道,Apex 基金會宣布DEX聚合器已集成到 ApexSwap,ApexSwap DEX 聚合器支持TraderJoe 和 Pangolin 路由交易.
Block Chain:2022/10/1 22:44:05金色財經報道,巴塞爾銀行監管委員會的一項研究發現,全球最大的銀行暴露約94億歐元(約90億美元)的加密資產風險敞口。國際標準制定者正在考慮針對貸方必須持有的創新資產資本的新規則.
Block Chain:2022/10/2 18:37:41金色財經現場報道,在新加坡舉辦的2022ABGA區塊鏈游戲峰會中,Immutable聯合創始人Robbie Ferguson分享了他對區塊鏈游戲機遇的看法。他認為,用戶生成內容是所有娛樂產業的未來,游戲便是其中之一.
Block Chain:2022/9/27 22:33:00金色財經報道,加密貨幣財務初創公司Tactic宣布完成1100 萬美元的新融資,由 FTX Ventures 領投.
Block Chain:2022/9/27 22:34:27金色財經報道,加州金融保護與創新部針對加密貸款機構Nexo的加密計息賬戶發布了一項禁止令。 該制止文件稱,Nexo的賺取利息產品賬戶是證券,“在沒有事先資格的情況下被出售和出售,違反了《加州公司法》第25110條.
Block Chain:2022/9/27 22:32:08金色財經報道,Coinbase聯合創始人兼首席執行官Brian Armstrong在MAINNET 2022加密大會上表示,美國制裁開源軟件就像永久關閉高速公路,最終會懲罰那些沒有做錯事的人,并導致人們的隱私和安全性...
Block Chain:2022/9/26 7:20:42金色財經報道,OpenSea宣布支持以太坊Layer 2 Optimism,這意味著基于Optimism構建的項目也屬于OpenSea的產品范圍,這是該頭部NFT市場支持的第六個區塊鏈.
Block Chain:2022/9/28 22:35:499月26日消息,DappRadar近日發布NFT報告,要點如下: -盡管NFT市場交易量相比第二季度減少75%至20億美元,但預計在第三季度末銷售數量將增長6%至2110萬.
Block Chain:2022/9/26 7:21:29金色財經報道,北京時間19:30-20:30,美聯儲主席鮑威爾出席有關數字貨幣的專家小組會議。鮑威爾表示,需要對去中心化的金融體系進行謹慎和深思熟慮的監管,確實有必要對加密貨幣進行適當的監管.
Block Chain:2022/9/27 22:34:36
比特幣價格
