安全團隊：Numbers Protocol（NUM）項目遭攻擊_Illuvium

金色財經報道，據慢霧安全團隊情報，2022年11月23日，ETH鏈上的NumbersProtocol代幣項目遭到攻擊，攻擊者獲利約13,836美元。慢霧安全團隊以簡訊形式分享如下：1.攻擊者創建了一個惡意的anyToken代幣，即攻擊合約，該惡意代幣合約的底層代幣指向NUM代幣地址；2.接著調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數，該函數的功能是傳入anyToken并調用底層代幣的permit函數進行簽名批準，之后兌換出擁有授權的用戶的底層代幣給指定地址。但是由于NUM代幣中沒有permit函數且擁有回調功能，所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗，導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中；3.接著攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利；此次攻擊的主要原因在于NUM代幣中沒有permit函數且具有回調功能，所以可以傳入假簽名欺騙跨鏈橋導致用戶資產被非預期轉出。

安全團隊：paraswap部署者私鑰疑似泄露，資金在多個鏈上被盜:10月11日消息，據Supremacy安全團隊監測，2022年10月11日，paraswap部署者地址在多個鏈（ETH、BSC、FTM）上發起異常交易，將其地址中的全部余額轉移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。經過分析，該地址為Profanity漏洞利用者地址，其歷史記錄中有竊取多個靚號地址資產的痕跡。經過排查，目前只有paraswap部署者地址自身資產遭到竊取，暫不影響paraswap多簽金庫(簽名閾值為2)，但不排除其他多簽地址也由Profanity生成，所以多簽金庫也可能存在風險。目前Supremacy團隊已聯系paraswap官方傳達信息，在此再次呼吁大家即時將及時更換由Profanity生成的地址，針對Profanity地址的攻擊仍在持續進行。[2022/10/11 10:30:53]

安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞:10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Beosin Trace正在對被盜資金進行實時追蹤。[2022/10/7 18:41:51]

Illuvium組建安全團隊并聘請Quantstamp、PeckShield和白帽Samczun完成額外審計:3月24日消息，RPG鏈游Illuvium表示正在組建安全團隊、突發事件響應團隊以及建立相關安全流程，其中安全團隊負責人為核心貢獻者Cag，Cag此前任職于Mozilla和Atlassian。另外，Illuvium還與外部網絡安全平臺Zerofox建立了合作關系，以避免網絡釣魚攻擊、假冒域名和數據泄露等惡意行動，打擊偽裝成Illuvium或Illuvium相關的網絡釣魚網站和社交賬戶。Illuvium還為其智能合約進行了額外審計，包括Quantstamp、PeckShield和白帽Samczun，還將通過Immunefi啟動漏洞賞金計劃。去年12月底，Illuvium的Discord遭到入侵，大約41個錢包的15萬美元資產被盜，今年1月份，Illuvium在其質押合約發現漏洞，導致攻擊者鑄造了無限量的sILV，之后該漏洞在StakingV2合約中得以修復。[2022/3/24 14:15:55]

Tags：IlluviumVIUSWAPNUMEscrowed IlluviumCentric SwapNumbers Protocol

火幣網下載官方app