Polygon生态项目GenomesDAO遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队分析如下:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
安全团队:发现Circom验证库漏洞CVE-2023-33252:金色财经报道,Beosin 发现Circom 验证库漏洞CVE-2023-33252,提醒zk项目方注意相关风险。Circom是基于Rust开发的零知识证明电路编译器,该团队同时开发了SnarkJS库用于实现证明系统,包括:可信设置、零知识证明的生成和验证等,支持Groth16、PLONK、FFLONK算法。
此前,Beosin 安全研究人员在?SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,当该库在验证证明时未对参数进行完整的合法性检查,使得攻击者可以伪造出多个证明通过校验,实现双花攻击。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞已修复完成。Beosin提醒所有使用了SnarkJS库的zk项目方可将SnarkJS更新到 0.7.0版本!以确保安全性。
同时针对此漏洞,Beosin安全团队提醒zk项目方,在进行proof验证时,应充分考虑算法设计在实际实现时,由于代码语言属性导致的安全风险。目前Beosin已将漏洞提交 CVE漏洞披露平台(Common Vulnerabilities and Exposures)并获取认可。[2023/5/25 10:39:47]
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
安全团队:Ankr项目攻击者已将200个BNB存入tornado cash:12月2日消息,据Fairyproof安全监测系统显示,12月2日,BNBchain上Ankr项目遭受黑客攻击。攻击者(0xf3a...5c777)疑似盗取了AnkrDeployer地址(0x2Ff....e33C0)的私钥,通过然后通过给aBNBc升级一个恶意aBNBc的实现合约(0xd99....14Ce4)后,Ankr Deployer地址发起一个mint交易,哈希值为0xf3a4....5c777,该交易增发10,000,000,000,000aBNBc代币。
随后Ankr Deployer转移了1.125个BNB到攻击者地址,攻击者地址随后将获得的aBNBc代币兑换为其他资产,其中200个BNB,存入tornado cash,其余的大部分转移到其他链上,其中大约428万美元的资产转移到eth,大约76万美元资产转移到Ploygon事发1个多小时后,Ankr Deployer将几个Ankr项目合约的owner权限转移到新的owner地址,攻击者获利超过500万美元。[2022/12/2 21:17:51]
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
安全团队:BGEO Token或存在“无限铸币”漏洞:10月20日消息,据Dataverse在社交媒体透露,目前已经检测到黑客对GEO BSC合约进行攻击,并提醒用户不要在BSC购买GEO,因为相关操作可能无效。后续GeoCash将对相关问题进行维护,也将根据ETH/Polygon链上快照进行空投。
另据派盾(PeckShield)在社交媒体上分析,该问题可能是BGEO(Binance GeoDB Coin)的铸造函数存在“允许无限铸币”漏洞导致。[2022/10/20 16:31:20]
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。
据TheBlock报道,TheSandbox在一篇博文中表示,已重新获得对其官方Instagram账户的控制权.
据Cointelegraph报道,Chainalysis近日发布的报告显示,跨链桥攻击事件被盗金额占2022年被盗加密货币总数的69%,损失达20亿美元.
据Venturebeat报道,让用户使用无代码工具创建游戏的Web3游戏平台Soba宣布完成1350万美元融资,LightspeedVenturePartners领投.
今日Nomad官方发布返还被盗资金说明后,官方资金回收钱包上陆续收到白帽黑客们的返还资金。成都链安安全团队使用链必追平台追踪发现,截止北京时间14:35,资金回收钱包地址共收到101.8ETH、.
据TheBlock报道,3月份的Ronin攻击事件与一个虚假的招聘广告相关。知情人士透露,黑客通过领英联系了AxieInfinity开发商SkyMavis的一名员工,经过几轮面试告知其以高薪被录.
据CoinDesk报道,美国宾夕法尼亚州共和党参议员PatToomey周二援引他收到的通讯称,美国联邦存款保险公司(FDIC)正在向银行施压,阻止银行向加密公司提供服务.