去中心化交易所:认了「合约漏洞」害用户被盗!SushiSwap:已追回3 百枚以太币

去中心化交易所SushiSwap因智能合约存在漏洞,导致其中一位用户——FrogNation前财务长「0xSifu」被盗走1,800枚以太币,损失超过300万美元。对此,Sushiswap「主厨」、执行长JaredGray表示,Sushi的「RouteProcessor2」合约存在审批错误,证实为攻击破口,正与安全团队合作解决问题,呼吁用户尽快撤销对该合约的授权。

Steadefi漏洞攻击相关已将400 ETH转移到Tornado Cash:金色财经报道,据PeckShieldAlert监测,Steadefi漏洞攻击相关已将400 ETH转移到Tornado Cash。[2023/8/14 21:22:23]

JaredGrey后来在说明事态进展时提到,大部分受影响的资金都在白帽安全流程中被保住,已成功追回逾300枚失窃的以太币,但还有近700枚以太币仍被卡在Lido的奖励金库中,目前正与对方联系以追讨被盗资金。

比特币全网未确认交易数量为36676笔:金色财经报道,BTC.com数据显示,目前比特币全网未确认交易数量为36676笔,全网算力为347.54 EH/s,24小时交易速率为3.93交易/s,目前全网难度为48.71 T,预测下次难度下调0.96%至48.25 T,距离调整还剩12天22小时。[2023/4/22 14:19:13]

此外,SushiSwap技术长MatthewLilley澄清,SushiSwap协议和UI并无风险,所有RouterProcessor2合约的相关问题都已从前端移除,所有LPing/当前交易活动都可以安全进行,SushiSwap将持续监控、追讨被盗资金。

Helium联合创始人:Helium 是无许可网络,我们不总能清楚试点何时结束:8月2日消息,Helium 联合创始人兼 Nova Labs 首席执行官 Amir Haleem 针对此前将多家未合作公司的徽标显示在其网站首页的指责,今日在推特上回应:有关公司声称与 Helium 项目没有任何关联的报道“令人沮丧和不安”。Helium 已经与很多公司合作,尽管其中一些是有限的试点项目和试验,其中一些展示和合作得到了“口头批准”。但Helium的无许可网络方式意味着与品牌和公司没有正式的商业合作伙伴关系,而且他们并不总是清楚试验或试点何时结束。

此外,Nova Labs 的官方声明表示:“就最近文章中提到的品牌而言,我们已经获准谈论用例,但我们现在将对标志审批流程更加严格,以避免任何混淆”[2022/8/2 2:52:41]

区块链和智能合约安全公司Peckshield解释说,存在漏洞的合约「已被部署在多个区块链中」以复制攻击。

DefiLlama创办人0xngmi提到,该攻击似乎只针对那些在过去四天内使用过Sushiswap的用户,并呼吁用户把存在受影响钱包中的资金转走。0xngmi表示,他已建立一个网站,可供用户检查地址是否受到SushiSwap合约攻击事件的影响,同时知道哪些代币的授权需要撤销。

另根据慢雾安全团队情报分析,SushiSwapRouteProcessor2遭到攻击的事件经过如下:

根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。

由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。

恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。

攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

MATICVIN:蝌蚪文?车架号!买卖二手车它最重要|聚侃

引言|这一串17位字符,是买卖二手车的必看项。爱已出了界,我欲哭无泪,自己从来没爱你。今天我们要聊的不是流行歌曲,而是另一种让人欲哭无泪的事--买卖二手车时一个重要关节如果把不好关,很可能遇.

[0:15ms0-0:720ms