金色财经报道,据慢雾安全团队情报,2023年4月9日,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。
安全团队:BNB Chain上加密项目ORT被利用,黑客获利约7万美元:金色财经报道,据区块链安全审计公司Beosin监测显示,BNBChain上的加密项目ORT被利用,黑客获利约7万美元。其中黑客首先调用INVEST函数,这个函数会调用_Check_reward函数来计算用户的奖励,但是黑客的duration变量为0,所以会直接返回total_percent变量作为reward参数,然后黑客调用withdraw And Claim函数提取奖励,获取total_percent数量的ORT代币,重复上述步骤获利。[2023/1/17 11:16:02]
安全团队:LegendaryOwls项目Discord服务器遭到攻击:金色财经消息,据CertiK监测,LegendaryOwls项目Discord服务器遭到攻击,其发布的azukiz[.].com是一个钓鱼网站。请社区用户不要点击、铸造或批准任何交易。[2022/8/17 12:30:55]
分析 | 慢雾安全团队提醒|EOS假账号安全风险预警:根据IMEOS报道,EOS 假账号安全风险预警,慢雾安全团队提醒:
如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功
2. 用户立即拿这个账号去某交易所做提现操作
3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里
防御建议:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:
1. push_transaction 后会得到 trx_id
2. 请求接口 POST /v1/history/get_transaction
3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。