據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊以簡訊的形式分享如下:
1.Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行NativeToken兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標Router是否在協議的白名單中。
慢霧:針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息,慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認,火幣本著負責任披露信息的策略,對本次事件做以下說明:本次事件是小范圍內(4000人)的用戶聯絡信息泄露,信息種類不涉及敏感信息,不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致,相關用戶信息于2022年10月8日已經完全隔離,日本站與火幣全球站無關。本次事件由白帽團隊發現后,火幣安全團隊2023年6月21日(10天前)已第一時間進行處理,立即關閉相關文件訪問權限,當前漏洞已修復,所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待,切勿傳謠。[2023/7/1 22:12:01]
2.經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。
慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]
3.不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。
慢霧:Quixotic黑客盜取約22萬枚OP,跨鏈至BNB Chain后轉入Tornado Cash:7月1日消息,據慢霧分析,Quixotic黑客盜取了大約22萬枚OP(約11.9萬美元),然后將其兌換成USDC并跨鏈到BNB Chain,之后將其兌換成BNB并轉入Tornado Cash。[2022/7/1 1:44:55]
4.惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。
此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。(來源鏈接)
作者:木沐,白話區塊鏈 資產安全一直以來都是加密行業老生常談的重要話題,然而根據白話區塊鏈觀察,盡管經常做安全科普,但真正關注安全問題的并不多,因為很多人普遍的心態是:“這完全是概率事件.
1900/1/1 0:00:00據慢霧區情報,受MinaJavaScriptclient-sdkv1.0.1之前版本的弱熵問題影響,目前社區已有多人反饋錢包私鑰被竊取.
1900/1/1 0:00:00撰文:0xBun,深潮TechFlow盡管X2E已經落幕,但它仍然是Web3中相對新穎的體系之一,吸引著不少流動性。X2E是一種高靈活性的敘事,其表現形式取決于人們的想象力.
1900/1/1 0:00:00Chaincatcher消息,AnimocaBrands推出的NFT項目Mocaverse新增其NFT空投條件.
1900/1/1 0:00:00a16zCrypto新任政府事務負責人CollinMcCune在上周五接受《財富》雜志采訪時表示,其擔任的政府事務負責人角色將成為Web3社區和華盛頓之間的橋梁.
1900/1/1 0:00:00整理:潤升,鏈捕手 “過去24小時都發生了哪些重要事件”?1、香港虛擬資產服務提供者發牌制度將于明年6月生效香港立法會三讀通過有關打擊洗錢及恐怖分子資金籌集制度的修例.
1900/1/1 0:00:00