加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > BNB價格 > Info

慢霧:AMM協議Uranium“被黑”系智能合約精度處理出錯_NOMAD:OMA

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據此前報道,智安智能鏈上AMM協議Uranium“被黑”,損失金額達5000萬美元。

慢霧安全團隊進行分析稱:此次問題發生在Uranium項目的pair合約上,該合約的swap函數部分邏輯參考了PancakeSwap的邏輯,允許用戶進行閃電貸借出資金。但是該函數在根據恒定乘積公式檢查合約余額時,存在精度處理錯誤的問題,導致最后合約中計算出的余額比合約實際的余額大100倍,這種情況下,如果攻擊者使用閃電貸進行借款,只需要歸還借貸金額的1%即可通過檢查,盜走剩余的99%的余額,導致項目損失。

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

目前Uranium官方已發文確認被盜,并建議用戶聯系官方統計損失,慢霧安全團隊建議用戶在參與DeFi項目時注意風險,謹慎參與,并選擇經過安全審計的可靠項目方來參與DeFi,避免資金損失。

慢霧:nanotron安全審計報告是偽造的:慢霧科技發推表示:團隊并沒有對于nanotron進行審計,項目的安全審計報告是偽造的,請注意防范風險。[2020/10/8]

攻擊者攻擊交易哈希

聲音 | 慢霧:使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息,近日,注意到撞庫攻擊導致用戶數字貨幣被盜的情況,具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測,同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為,被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全,但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系,且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致,這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]

Tags:NOMADMADOMANOMNomad Exilestamadoge幣屬于什么公鏈MOMAOnomy Protocol

BNB價格
以太坊基金會開發人員:信標鏈首個升級 Altair 已取得進展_以太坊:AIR

鏈捕手消息,以太坊基金會核心開發人員DannyRyan在以太坊官方博客發布文章宣布信標鏈首個升級Altair已取得穩定進展.

1900/1/1 0:00:00
Variant Fund投資人:10個跡象表明以太坊即將達到1萬美元_以太坊:以太坊最新價格行情昭

本文來自知名投資機構VariantFund投資人SpencerNoon推特,并由鏈捕手編譯。1:以太坊在支付的費用方面使每個區塊鏈相形見,目前的年化收入接近70億美元,這證實了對以太坊區塊空間的.

1900/1/1 0:00:00
對話 Polygon 聯合創始人:市值百億美元的以太坊 Layer 2 聚合器是如何煉成的?_POL:Polygon

本文發布于巴比特資訊,原文標題:《獨家丨對話Polygon創始人:從「馬蹄」到以太坊Layer2聚合器,百億美元市值是如何煉成的》,作者:隔夜的粥過去一個月內.

1900/1/1 0:00:00
流動性挖礦爆發一周年,看看 DeFi 成長如何_EFI:DEFI

文章來源于鏈聞,作者:潘致雄。一年前,去中心化金融開始逐漸受到加密貨幣社區廣泛關注,但是如果沒有「流動性挖礦」和「收益耕種」概念的影響,DeFi生態可能不會在這一年的時間內如此快速的發展,也很可.

1900/1/1 0:00:00
對話Jolestar:Starcoin是鏈上治理實現最徹底的公鏈之一_STA:COIN

越來越多項目入局公鏈賽道,Starcoin是近期國內涌現的新銳公鏈代表,由國內多名互聯網公司前高管創立,基于Facebook的Move語言開發,近日已上線主網.

1900/1/1 0:00:00
人民日報:數字人民幣測試將為未來貨幣創新與市場選擇奠定堅實基礎_區塊鏈:數字貨幣交易所app下載安卓

鏈捕手消息,《人民日報》刊文“全球數字貨幣加快研發”,文章表示,隨著數字化趨勢的不斷擴大,經濟運行模式、社會分工架構、產業組織邊界逐步改變,將從需求端重構金融服務模式.

1900/1/1 0:00:00
ads