[安全团队:GEMDAO项目发生rug pull,卷走322BNB]金色财经报道,据安全团队成都链安消息,GEMDAO发生rug pull,其合约拥有者调用存在后门的函数transfer()凭空增加自己GEMDAO余额,随后使用增加的GEMDAO将池子中的WBNB兑换出。该transfer()函数接受者为owner时将直接增加自己的余额。项目方共卷走322BNB (约105,553.49美元) ,安全团队成都链安正在对被盗资金进行实时监控。
其它快讯:
安全团队:BNBChain上聚合DAO社区DAO Officials疑似被攻击:金色财经消息,派盾(PeckShield)监测显示,BNBChain上聚合DAO社区DAO Officials疑似被攻击,此外链上数据显示攻击者或获利逾50万美元。[2022/9/5 13:09:12]
Illuvium组建安全团队并聘请Quantstamp、PeckShield和白帽Samczun完成额外审计:3月24日消息,RPG链游Illuvium表示正在组建安全团队、突发事件响应团队以及建立相关安全流程,其中安全团队负责人为核心贡献者Cag,Cag此前任职于Mozilla和Atlassian。另外,Illuvium还与外部网络安全平台Zerofox建立了合作关系,以避免网络钓鱼攻击、假冒域名和数据泄露等恶意行动,打击伪装成Illuvium或Illuvium相关的网络钓鱼网站和社交账户。Illuvium还为其智能合约进行了额外审计,包括Quantstamp、PeckShield和白帽Samczun,还将通过Immunefi启动漏洞赏金计划。去年12月底,Illuvium的Discord遭到入侵,大约41个钱包的15万美元资产被盗,今年1月份,Illuvium在其质押合约发现漏洞,导致攻击者铸造了无限量的sILV,之后该漏洞在StakingV2合约中得以修复。[2022/3/24 14:15:55]
分析 | 慢雾安全团队提醒|EOS假账号安全风险预警:根据IMEOS报道,EOS 假账号安全风险预警,慢雾安全团队提醒:
如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功
2. 用户立即拿这个账号去某交易所做提现操作
3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里
防御建议:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:
1. push_transaction 后会得到 trx_id
2. 请求接口 POST /v1/history/get_transaction
3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]
郑重声明: 安全团队:GEMDAO项目发生rug pull,卷走322BNB版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。