Brahma TopGear (brahTOPG) 項目存在外部調用風險，請迅速取消授權_COI:Pexcoin

據慢霧安全團隊監測，ETH鏈上的brahTOPG項目遭到攻擊，攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先查詢了受害用戶0x392472的余額，接著調用了Zapper合約的zapIn函數。

Cobra：BCH今年年底前將跌出前十加密貨幣之列:Bitcoin.org網站共同所有者Cobra今日發推稱，到今年年底，BCH將跌出市值前十加密貨幣之列。注：CoinMarketCap數據顯示，目前BCH以近48.2億美元的市值位列第七位。

此前消息，BCH支持者、Bitcoin.com創始人Roger Ver發推稱：“Bitcoin ABC和deadalnix（Bitcoin ABC的首席開發者Amaury Séchet）宣布將于11月15日分叉脫離BCH，祝他們的新代幣好運，并感謝他們免費空投給所有BCH持有者。”

據悉，BCH網絡將在11月15日按計劃進行兩年一次的升級。Bitcoin ABC團隊計劃在升級引入IFP coinbase規則，即將8%區塊獎勵分配給ABC相關地址，用于支持團隊開發，但此事持續引發社區爭議。Roger Ver昨日發推批判Bitcoin ABC團隊的IFP coinbase規則稱，將BCH區塊獎勵的一部分用于支付一個開發團隊，這是中心化計劃者的愿景成真，并認為應停止該計劃。[2020/9/3]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣，由于該函數傳入的參數是外部可控的，所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

路透社：Facebook將縮減Libra計劃:Facebook Inc將縮減其對Libra全球數字貨幣的計劃，暫時不會在自己的服務中使用它。據三位知情人士稱，在監管機構的壓力下，除了擬議的Libra代幣，Facebook已決定為其用戶提供政府支持的貨幣的數字版本，包括美元和歐元。 Facebook仍計劃繼續推出數字錢包，該數字錢包將允許用戶進行購買以及匯款和收款，盡管該數字錢包的推出將推遲數月。Facebook沒有立即回應路透社的置評請求。（路透社）[2020/3/4]

3.接著會調用內部函數zap，在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值，由于第二步的操作所以通過了該檢查。

動態 | 日本區塊鏈協會召開有關Facebook虛擬貨幣Libra的研討會:據crypto.watch消息，日本區塊鏈協會（JBA）于6月24日舉行了有關Facebook虛擬貨幣Libra研究會議。JBA顧問律師從日本法律角度解釋了對于虛擬貨幣的管理辦法。[2019/6/25]

4.之后會外部調用假代幣合約的approve函數，該函數為攻擊者惡意構造，是為了給Zapper合約轉賬frax代幣，此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約，并且調用所傳入參數也是外部可構造的，所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟，總共攻擊了三次，轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題，攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags：COIOINCOINBCHCOINCOMEPexcoingcoin幣100個多少錢iBCH

以太坊價格今日行情