链捕手消息,安全分析团队慢雾发布PolyNetwork被攻击事件的分析报告。慢雾认为,该攻击瞄准的潜在漏洞是EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
因此,攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper,替换keeper角色的地址后,攻击者可以随意构造交易,从合约中提取任意数量的资金。而keeper的私钥泄漏并非该事件根源。
声音 | 慢雾科技余弦:2019年加密货币世界被黑资产价值达44亿美金:安全公司慢雾科技联合创始人余弦在微博上称,我们的一个有趣统计:加密货币世界,已披露的,2019 年之前被黑的资产价值有41亿美金,而 2019 年一年就有44亿美金,增加了一倍多。如果从被黑项目方个数来看,也是增加了一倍多。2019 对于地下黑客来说是个多疯狂的一年。[2020/1/7]
昨日,跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击,价值超过5.9亿美元的USDC、ETH等资产被黑客转移。该攻击为DeFi迄今为止最严重的安全事故。
声音 | 慢雾科技联合创始人余弦:隐私不是拿来保护的 是拿来控制的:据巴比特消息,慢雾科技联合创始人余弦今日在活动中表示:“我觉得隐私不是拿来保护的。我的观点是,隐私是拿来控制的。大家都知道我们国家的法律里面有一个关于隐私的权利,大家都有隐私权,当然不一定所有人都会深刻地了解这个东西,包括你在使用很多互联网应用的时候,你可能不一定会它的隐私条款。”[2019/5/16]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。