据慢雾MistTrack监测信息显示,2020-11-22攻击picklepDAI池的黑客地址继1月8日异动后,再次于1月14日发生异动。此前黑客地址转移了1500万DAI到五个新地址,现除了地址5,其余四个地址均发生异动,其中地址1和地址2分别向另一个地址3转入400万DAI。除此之外,慢雾MistTrack监测到1月9日、11日,黑客均向地址3分别转入176万DAI、300万DAI,紧接着地址3于当天通过Uniswap、1inch将一部分DAI兑换成CORN或COMP,另一部分DAI转到地址1、地址2。
GoPlus与慢雾提出合约可限时授权EIP提案,以降低遗留授权导致的被盗风险:10月6日消息,安全机构GoPlus与慢雾提出可限时授权的EIP标准,以降低遗留授权导致的被盗风险。标准中提到,包括TransitSwap事件在内,反复发生的资产盗窃是由于用户对合约的过度授权造成的,如果合约出错,所有没有召回授权的用户都会受到攻击。
GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv,以在默认时间段内自动撤回授权,或者使用自定义的时间限制来召回授权并及时避免风险,并提交了一份新的EIP,目前正在由以太坊研究部门审查。[2022/10/6 18:41:11]
目前地址1有1亿9千万cDAI,地址2有4亿3千万cDAI,地址3有32万DAI,地址5有400万DAI。
慢雾首席信息安全官:近期多起供应链攻击或由同一团伙所为,目标为加密货币产业:8月26日消息,慢雾首席信息安全官(Twitter ID 为 @IM_23pds)在 Twitter 上表示,近期多起供应链攻击或由同一团伙所为,受影响的服务商包括 Lastpass、Twilio、Okta、Cloudfare,且该团伙目标应为加密货币产业。[2022/8/26 12:49:39]
分析 | 慢雾预警:ADX合约设计疑似存在“后门”风险:安全公司慢雾发布安全预警称,ADX合约设计疑似存在“后门”风险。具体细节为:在合约中grantVestedTokens方法写了转账是否可以允许被revoke ,可以在grants这个mapping中或者tokenGrant中查到用户生成的这个TokenGrant到底允不允许revoke, 如果是允许revoke则要慎重,用户可以通过revokeTokenGrant撤回,这样holder就会受到损失,代币可能会回到原本用户的余额上或者 转到0xdead, 这取决于burnsOnRevoke的值。
ADX项目业务设计比较特殊,如果在对接交易所的话,没有说明对接的方式,以及一些特殊方法的调用和判断,会造成交易所损失,请交易所注意对接时候相关细节处理。[2019/5/10]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。