据成都链安链必应-区块链安全态势感知平台舆情监测显示,VisorFinance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了VisorFinance项目抵押挖矿合约RewardsHypervisor的两个漏洞:
巧克力COCO智能合约已通过Beosin(成都链安)安全审计:据官方消息,Beosin(成都链安)近日已完成巧克力coco智能合约项目的安全审计服务。据介绍,巧克力COCO是基于波场底层打造的一个去中心化开放金融底层基础设施。结合波场TICP跨链协议,订单簿DEX,智能挖矿等等功能的创新和聚合,进而打造全面去中心化金融平台。巧克力COCO无ICO、零预挖且零私募,社区高度自治。合约地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC审计报告编号:202010042149[2020/10/5]
1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<-主要漏洞,造成本次攻击的根本原因。
成都链安CMO:交易所需建设一套完整的资金内控系统:3月11日晚8点,成都链安CMO Adolfo Gao做客“抹茶周三见”时发表观点:交易所需建设一套完整的资金内控系统,并对每笔资金的出入都应该做好审核和记录。此外他还指出,关键私钥和转账授权的防护也是重中之重。成都链安科技是最早专门从事区块链安全的公司,由前海母基金,联想创投,复星国际,分布式资本等知名企业和创投战略投资,电子科技大学杨霞教授,郭文生教授,高子扬博士联合创立。“抹茶周三见”是MXC抹茶推出的一档AMA活动,不定期邀请重量级嘉宾在周三进行分享。[2020/3/11]
2.函数未做防重入攻击;<-次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。
动态 | 成都链安获得前海母基金新一轮融资:金色财经报道,2020年2月,成都链安科技有限公司正式宣布,获得前海母基金新一轮融资,以推动区块链安全事业健康有序发展。此前,成都链安已在2019年12月获得由联想创投、复星高科领投,成创投、任子行战略投资的数千万元融资,以及在2018年3月获得分布式资本的种子轮投资,在2018年9月获得界石资本、盘古创富的天使轮投资。据了解,前海母基金是目前国内商业化募集母基金,截至目前已完成募集规模285亿元。[2020/2/25]
针对这两个问题,成都链安建议项目方应做好下面两方面:
1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;
2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。
此前消息称,流动性管理协议VisorFinance遭黑客攻击,损失约820万美元。BentFinance官方表示,攻击者盗取51.3万cvxcrvLP代币,建议所有用户现在撤回其MIMLP。Bent上的cvxcrv和mimCurve池是受影响的池,已禁用cvxcrv和mim池的奖励申领。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。