BTC/HKD+0.08%
ETH/HKD+0.5%
LTC/HKD+1.46%
DOT/HKD+0.2%
ADA/HKD-0.13%
SOL/HKD-0.21%
XRP/HKD+0.42%
DOGE/US-1.21%安全公司CertiKAlert在推特上表示,穩定幣交易項目Platypus在AAVE上遭遇閃電貸攻擊,導致總價值約900萬美元的資產損失。此時,大部分被盜資金仍留在攻擊者的合約地址中,部分資金被發送到EOA和AAVE池中。
CertiK分析稱,漏洞似乎在于emergencyWithdraw函數對MasterPlatypusV4合約的驗證,只有在借入資產超過借入限額時才會失敗。然后該函數繼續轉移所有用戶的存款資產,而不考慮用戶借入的資產價值。具體過程如下:1.攻擊者將4400萬枚USDC存入PlatypusUSDC資產并獲得4400萬枚LP-USD。攻擊者隨后將LP-USD存入MasterPlatypusV4。2.攻擊者調用函數borrow()在合約platyputreasure中鑄造約4179萬枚USP。這是借款限額所允許的最高金額,該限額為用戶抵押品的95%。3.因為攻擊者沒有借入超過95%的上限,isSolvent值返回為“true”,這使得攻擊者能夠調用EmergencyWithdraw函數和全部4400萬枚LP-USDC。4.攻擊者隨后從PlatypusUSDC資產(LP-USDC)中提取了4400萬枚USDC,并開始通過PlatypusFinance池將USP換成多種資產。償還閃電貸后,Platypus平臺的總損失約為900萬美元。
安全公司Dedaub因披露Uniswap重入漏洞獲得4萬美元漏洞賞金:1月3日消息,安全公司 Dedaub 團隊宣布獲得 Uniswap Labs 的 4 萬枚 USDC 安全漏洞賞金,因為其披露 Uniswap 的一個嚴重漏洞,該漏洞有重入并耗盡用戶的資金的可能性。不過,Uniswap 團隊已解決該漏洞并在所有鏈上重新部署了 Universal Router 智能合約,資金是安全的。
Uniswap 在 2022 年 11 月份發布通用路由器Universal Router智能合約,可將 ERC20 和 NFT 兌換統一到一個交換路由器中,用戶可以執行異構操作,例如,在一筆交易中交換多個 Token 和 NFT。
Dedaub 表示,該路由器為各種 Token 操作嵌入了腳本語言,此類命令可能包括向第三方(可能不受信任的)接收人的傳輸。如果在傳輸過程中的任何時候調用第三方代碼,該代碼可以重新進入 UniversalRouter 并在合約中臨時認領任何 Token。Dedaub 建議 Uniswap 為新路由器的核心執行添加一個重入鎖,并重新部署。[2023/1/4 9:50:22]
Platypus就此事在官方電報群中發布公告稱:“我們目前正在努力評估情況,并將就此及時進行溝通。目前,所有行動都已暫停,直到情況更加明朗。”數據顯示,Platypus項目的原生穩定幣USP已脫錨至0.4785美元。
安全公司:Punk Protocol被黑因其CompoundModel的Initialize函數未做重復初始化檢查:據慢霧區消息,去中心化年金協議 Punk Protocol 在公平啟動的過程中遭遇攻擊,慢霧安全團隊以簡訊形式將攻擊原理分享如下:
1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。
2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。
3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。
4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。
總結:本次攻擊的根本原因在于其 CompoundModel 的 Initialize 函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換 Forge 角色,最終造成合約管理的資產被盜。[2021/8/12 1:51:06]
動態 | 瑞士網絡安全公司WISeKey將在沙特阿拉伯建立新的區塊鏈中心:據GlobeNewswire報道,在多倫多舉行的Blockchain Revolution Global會議上,瑞士網絡安全公司WISeKey宣布將在沙特阿拉伯建立一個新的區塊鏈中心,并與沙特高新技術企業“SAT”成立合資企業,名為WISeKey Arabia。WISeKey將與SAT合作在中東拓展網絡安全、區塊鏈和物聯網產品。[2019/4/23]
據彭博社報道,幣安承認它錯誤地將其發行的某些代幣的抵押品與交易所客戶資金放在同一個錢包中。幣安周一在其網站上公布的數據顯示,幣安發行的94種貨幣(稱為Binance-peg代幣或“B-Token.
1900/1/1 0:00:00據Decrypt報道,NFT市場SuperRare創始人JonathanPerkins在NFT巴黎會議期間表示,向創作者付費的決定早在五年前就已做出.
1900/1/1 0:00:00據TheBlock報道,SBF的律師在周二的一封信中告知聯邦法官,他們正在尋找一名技術專家,就SBF的保釋爭議向法院提供建議.
1900/1/1 0:00:00據TheBlock報道,由JumpTrading前研究負責人KeoneHon創立的EVM兼容Layer1區塊鏈項目MonadLabs完成1900萬美元種子輪融資.
1900/1/1 0:00:00據官方消息,歐萊雅旗下專業美妝品牌NYXProfessionalMakeup正在推出名為GORJS的DAO形式的在線美容創作者孵化器,以及1,000個名為“FKWMEPass”的以太坊NFT.
1900/1/1 0:00:00據CoinDesk報道,Solana網絡的深度凍結仍在繼續,驗證者正在準備第二次重啟嘗試,希望能夠恢復該鏈的用戶服務.
1900/1/1 0:00:00
加密貨幣交易所
