[安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查]据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。
安全公司:10万亿枚aBNBc被铸造,疑似Ankr部署者密钥被盗:12月2日消息,安全公司Ancilia发推文表示,Web3基础设施提供商Ankr的部署者密钥疑似被泄露。10万亿枚aBNBc代币在tx:0xe367d05e7ff37eb6d0b7d763495f218740c979348d7a3b6d8e72d3b947c86e33中铸造,并发送到0xf3a4开头的地址,这些aBNBc代币正在兑换成USDC和WBNB。随后,0xf3a4开头的地址通过Tornado和cBridge转出资金。[2022/12/2 21:17:30]
分析 | 安全公司:Upbit交易所大额EOS 和XLM转入Bittrex交易所操作或是Bittrex协助规避风险:今日 12:06分,成都链安态势感知系统Beosin-Eagle eye检测到以太坊Upbit交易所热钱包地址向未知地址通过一笔交易转移超过34万ETH。黑客转移342000ETH之后,该地址当时仅剩下111.3ETH,几近掏空。北京时间11月27日13时18分,Upbit波场地址TDU1uJ向TA9FnQrL开头的地址分批次转移TRON币,共计转移超过11.6亿枚TRON币,2100万枚BTT。北京时间11月27日13时02分,8628959枚EOS从Upbit EOS钱包地址转至Bittrex交易所;北京时间11月27日1点55分左右,超过1.52亿枚XLM从Upbit交易所转移至Bittrex交易所。通过我们的进一步分析认为:EOS,XLM,TRON代币的转移很有可能是交易所触发风控机制而进行的避险操作,并且有资料显示Upbit和bittrex为合作关系,因此,大额EOS 和XLM转入Bittrex交易所的操作可能是Bittrex协助规避风险。[2019/11/27]
动态 | IDEX与网络安全公司合作推行防钓鱼应用解决方案:据BitcoinExchangeGuide报道,IDEX宣布与Phish Fort合作,后者将为IDEX提供一种专用于高风险金融行业的防御解决方案,从而能够回溯、检测并删除存在潜在威胁的钓鱼应用程序、网站、聊天机器人等,以防止钓鱼攻击。[2018/8/29]
郑重声明: 安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。