據慢霧區情報,幣安智能鏈項目ValueDeFi的vSwap模塊被黑,慢霧安全團隊分析如下:1.攻擊者首先使用0.05枚WBNB通過vSwap合約兌換出vBSWAP代幣;2.攻擊者在兌換的同時也進行閃電貸操作,因此vSwap合約會將兌換的vBSWAP代幣與閃電貸借出的WBNB轉給攻擊者;3.而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的tokenWeight0參數是否為50來選擇不同的算法來檢查池子中的代幣數量是否符合預期;4.由于vSwap合約的tokenWeight0參數設置為70,因此將會采用第二種算法對池子中的代幣數量進行檢查;5.而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;6.第二種算法是通過調用formula合約的ensureConstantValue函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;7.在通過對此算法進行具體分析調試后我們可以發現,在使用WBNB兌換最小單位(即0.000000000000000001)vBSWAP時,池子中緩存的WBNB值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;8.因此攻擊者可以轉入WBNB進行最小單位的vBSWAP代幣兌換的同時,將池子中的大量WBNB代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過vSwap的檢查;9.攻擊者只需要在所有的vSwap池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。
慢霧:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息,2022年01月18日,一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]
慢霧:PAID Network攻擊者直接調用mint函數鑄幣:慢霧科技發文對于PAID Network遭攻擊事件進行分析。文章中指出,在對未開源合約進行在反編譯后發現合約的 mint 函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。慢霧科技分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用 mint 函數進行任意鑄幣。
此前報道,PAID Network今天0點左右遭到攻擊,增發將近6000萬枚PAID代幣,按照當時的價格約為1.6億美元,黑客從中獲利2000ETH。[2021/3/6 18:21:08]
公告 | 慢霧區發布EOS假賬號安全風險預警:慢霧區發布EOS假賬號安全風險預警稱:如果EOS錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷15個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。
攻擊示意如下:
1.用戶使用某款EOS錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功;
2.用戶立即拿這個賬號去某交易所做提現操作;
3.如果這個過程任意環節作惡,都可能再搶注aaaabbbbcccc這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里。
防御建議:輪詢節點,返回不可逆區塊信息再提示成功。[2018/7/16]
據報道,投資銀行高盛已開始為客戶提供比特幣投資產品。該公司已經開放了與不可交割遠期合約的交易。為了對沖加密貨幣的波動性,高盛將在芝商所上交易比特幣期貨.
1900/1/1 0:00:00鏈聞消息,DeFi協議ValueDeFi繼本周三遭到黑客攻擊后疑似再次遭受黑客攻擊。幣安智能鏈上部分抵押穩定幣項目IRONFinance稱,「5月7日ValueDeFi被黑客攻擊,IRONFin.
1900/1/1 0:00:00尊敬的社區用戶: BSC節點升級完畢,BHEX現已恢復OKS、BUSD、ATM、ASR、OG、PSG、JUV、USDT、BTC、ETH、BNB?11個BEP20代幣的充值和提現.
1900/1/1 0:00:00Kraken已被勒令向美國國稅局(IRS)提供其部分用戶的信息,這些用戶為在2016年至2020年中的任何一年進行了2萬美元加密貨幣交易的用戶.
1900/1/1 0:00:00人工智能、區塊鏈、云計算和大數據等數字技術以迅雷不及掩耳之勢將人類社會帶入了數字經濟時代,第四次工業革命以勢不可擋之勢由此拉開了大幕.
1900/1/1 0:00:00前言 去年夏天的DeFi熱潮以來,行業整體處于持續向上向前發展的態勢,總鎖倉量屢創新高。據TokenInsight數據,截至2021年4月30日,總鎖倉量超過700億美元.
1900/1/1 0:00:00