据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,CoFiXProtocol项目遭受价格操控攻击。攻击者获利约14万美元。
网络安全公司Irius Risk完成2870万美元B轮融资,将拓展Web3及区块链安全业务:10月5日消息,网络安全初创公司Irius Risk宣布完成2870万美元B轮融资,本轮融资由Paladin Capital领投,360 Capital、Inveready、Swanlaab Venture Factory参投。Irius Risk开发的安全平台能帮助企业识别软件和系统设计中的潜在威胁并提出对策,从而提升产品安全性。
在新资金支持下,Irius Risk希望将其业务拓展至Web3及区块链领域领域,其创始人De Vries表示,网络安全的下一个潜在增长领域将是Web3和区块链技术,虽然这是一个仍处于初级阶段的行业,但预计监管和消费者对更高安全性的需求将迫使更多Web3开发者在创建产品过程中建立威胁模型。(Sifted)[2022/10/5 18:40:08]
该公司经分析发现,攻击者先从先闪电贷借出大量BSC-USD,再用BSC-USD兑换出DCU。然后攻击者通过利用Router合约的swapExactTokensForTokens没有校验to地址是否是msg.sender的漏洞,将对Router合约有大额授权的to地址中的BSC-USD经过BSC-USD->DCU->PRC的兑换路径兑换为RPC,导致LP中DCU的价格升高,最后通过前面兑换的DCU重新高价兑换成BSC-USD从而获利。目前攻击者实施了三次攻击,总计获利约145,491BSC-USD,已经兑换为BUSD并转移到攻击者的其他地址中。
安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查:据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。[2021/8/12 1:51:06]
对此,成都链安安全团队建议用户在对合约授权时按需授权,授权值不要超过本次需要转移的代币的数量,避免因为过多授权造成意外损失。
网络安全公司Red Balloon要求面试者破解包含加密货币的硬盘:金色财经报道,在挑选安全人员时,网络安全公司Red Balloon Security要求面试者解锁包含比特币的加密硬盘。任何破解加密硬盘的人都可以获得0.1337 BTC,约合4800美元。据称,该公司向几乎所有申请人都发送了测试包,但成功率约为1%。[2021/1/19 16:28:40]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。