9月29日消息,区块链安全团队慢雾根据初步分析,得出了黑客攻击Eminence的流程:1.攻击者购买了1500w个DAI,换取约1383650487个EMN,并转移1500w个DAI到EMN合约中。2.拿换取的一半EMN到eAAVE合约中burn掉,换取eAAVE中的通证。eAAVE中调用buy函数时会燃烧EMN合约中的对应代币,但是合约中的DAI没有减少。3.把剩余的一半EMN到EMN合约中卖掉,换取1000w个DAI,由于上一步燃烧EMN的时候EMN合约中的DAI的金额没有减少,所以相同份额的EMN能从合约中取回更多的DAI。4.把eAAVE合约中换取的通证卖掉,取回约600w个EMN。5.继续把600w个EMN卖掉,换回约660w个DAI。相关合约:EMN:0x5ade7ae8660293f2ebfcefaba91d141d72d221e8Bancor合约:0x16f6664c16bede5d70818654defef11769d40983eAAVE:0xc08f38f43adb64d16fe9f9efcc2949d9eddec198。
慢雾安全提醒:Discord,Telegram频道公告权限设置提醒:据慢雾安全情报,近期存在项目因 Discord 管理账户权限设置问题而造成管理账户被接管,并通过公告频道发布钓鱼链接,导致社区用户遭受损失的事件。在此提醒各位注意添加频道权限设置,管理公告发布,预防仿冒官方人员名称发布公告及网络链接钓鱼问题。[2021/12/24 8:00:42]
动态 | 慢雾 TradingView 0day 漏洞预警:据 Joinsec 情报及慢雾安全团队的深入分析,通用 K 线展示 JS 库 TradingView 再次发现两个 0day 漏洞,可绕过 Cloudflare 及浏览器 CSP 防御机制,并且不会在 Web 服务上留下日志。第一个 0day 漏洞如果被利用成功会导致用户帐号权限被盗、交易恶意操作等,从而造成资产损失;第二个 0day 漏洞可以实施钓鱼攻击盗取用户账号密码,也可在特殊场景下绕过目标 Web 服务的 CSRF 防御。TradingView 在数字货币交易等平台被非常广泛地应用,属于商业软件,版本分布未知。鉴于历史披露及新发现的 0day 漏洞相关场景来看,我们强烈建议使用 TradingView 的项目方保持警惕,注意用户的异常反馈。细节我们会在合适时机下披露。[2019/3/1]
动态 | 慢雾预警:竞技类游戏 WinDice 遭遇回滚攻击:根据慢雾威胁情报系统捕获,今天下午 2、3 点,竞技类游戏 WinDice 遭遇回滚攻击。攻击者通过部署攻击合约 rep******net 攻击项目方合约 windiceadmin,共获利 300 多枚 EOS,目前攻击者数个关联账号已列入慢雾 BTI 系统黑名单库,慢雾安全团队提醒类似项目方全方面做好合约安全审计并加强风控策略。[2019/2/4]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。