加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > MANA > Info

慢霧:Punk Protocol被攻擊因其CompoundModel合約Initialize函數未做重復初始化檢查_STA:FOR

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊,慢霧安全團隊以簡訊形式將攻擊原理分享如下:

1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作,將合約Forge角色設置為攻擊者指定的地址。

慢霧:遠程命令執行漏洞CVE-2023-37582在互聯網上公開,已出現攻擊案例:金色財經報道,據慢霧消息,7.12日Apache RocketMQ發布嚴重安全提醒,披露遠程命令執行漏洞(CVE-2023-37582)目前PoC在互聯網上公開,已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺,提供高效、可靠、可擴展的低延遲消息和流數據處理能力,廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務,注意風險。漏洞描述:當RocketMQ的NameServer組件暴露在外網時,并且缺乏有效的身份認證機制時,攻擊者可以利用更新配置功能,以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]

2.隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中,以取得抵押憑證cToken。

慢霧:Gate官方Twitter賬戶被盜用,謹慎互動:10月22日消息,安全團隊慢霧發文稱:加密平臺Gate官方Twitter賬戶被盜用,謹慎互動。半小時前,攻擊者利用該賬戶發文,誘導用戶進入虛假網站連接錢包。此外,慢霧科技創始人余弦在社交媒體上發文表示:注意下,Gate官方推特應該是被黑了,發送了釣魚信息,這個網址 g?te[.]com 是假的(之前談過的 Punycode 字符有關的釣魚域名),如果你去Claim會出現eth_sign這種簽名釣魚,可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

4.withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。

總結:本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。

Tags:STASTAKAKIFORSTARC幣stake幣圈Liquid Staking DerivativeVouchForMe

MANA
鏈游MEGA HERO將于9月8日開啟內測_ERO:WIZARD Vault (NFTX)

巴比特訊,由HuobiXCenter孵化的鏈游項目MEGAHERO將于9月8日正式開啟內測,預計9月20日開啟公測。MEGAHERO是由玩家擁有、并共享收益的NFT卡牌戰斗游戲.

1900/1/1 0:00:00
借元宇宙出圈,吸金能力超《王者榮耀》,鏈游Axie還能輝煌多久?_元宇宙:NFI

借著元宇宙的概念,區塊鏈游戲又火了一把。 鏈新原創作者|王晟宇 據《BGA區塊鏈游戲報告2021年7月》顯示,今年7月,超過80萬名用戶參與到區塊鏈游戲中,這個數字比6月份增加了121%.

1900/1/1 0:00:00
報告:阿里巴巴將有望取代IBM成為全球最大區塊鏈專利持有者_區塊鏈:中國去中心化交易所排名

據網易號IT大腦袋報道,知識產權咨詢公司KISSPatent研究報告指出,阿里巴巴有望取代美國科技巨頭IBM,成為全球最大的區塊鏈專利持有者.

1900/1/1 0:00:00
調查:東歐地區在過去一年中向加密龐氏騙局和詐騙案發送了8.15億美元的資金_NFT:COIN

據Cointelegraph消息,9月1日,區塊鏈研究公司Chainalysis發表報告表示,位于東歐地區的加密貨幣地址在非法活動中的曝光率僅次于非洲.

1900/1/1 0:00:00
買NFT不如自己創作?12歲男孩在一天內賺取80枚ETH,他是如何做到的?_NFT:MED

本文來自?Bitcoinist,原文作者:EduardoPrósperoOdaily星球日報譯者|余順遂原標題:《買NFT不如自己創作?12歲男孩在一天內賺取80枚ETH》WeirdWhales.

1900/1/1 0:00:00
融資新聞丨 “智能NFT”開發商Aletha AI完成1600萬美元融資,億萬富豪Mark Cuban等投資_NFT:區塊鏈

創造了世界上第一個“智能NFT”的軟件開發商AlethaAI剛剛通過私人代幣銷售獲得了1600萬美元的資金,以創建一個由其機器人填充的元宇宙.

1900/1/1 0:00:00
ads