链闻消息,2021年9月12日,Avalanche上ZabuFinance项目遭受闪电贷攻击,慢雾安全团队针对此过程进行分析,具体攻击步骤如下:1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备;2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行「抵押/提现」操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中慢雾注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量;3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过「抵押/提现」操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值;4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售;此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。参考:攻击合约1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400攻击合约2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb攻击交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3获利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac
慢雾创始人余弦:助记词/私钥等敏感信息交给对安全不够负责任的钱包来守护简直就是讽刺:金色财经报道,慢雾创始人余弦在社交媒体上针对Atomic Wallet被盗事件称,又一个知名钱包出现严重被盗事件,助记词/私钥如此敏感的信息交给对安全不够负责任或安全等级不足够高的钱包来守护,简直就是讽刺。这里的信息不对称太严重了,连我都难以回答哪些钱包是持续安全的...
助记词/私钥就应该躲在加密芯片、离线环境或可信环境里,用多签/MPC去单点故障也行。
金色财经此前报道,根据ZachXBT统计的数据,Atomic Wallet链上被盗资金已经超过1400万美元,估计至少有2000万美元被盗。[2023/6/4 21:14:36]
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
慢雾科技启富:去中心化钱包安全核心在于私钥、助记词的存储及加密:11月6日消息,慢雾科技合伙人启富在做客《HyperPay焦点》栏目时提及:去中心化钱包的安全涉及到很多方面,最核心的是对私钥、助记词的存储及加密。用户在选择钱包时尽量选择国际知名、一流的钱包,同时注意看钱包App的代码是否开源、代码是否经过安全审计、团队内是否有CSO或安全负责人,这些都可能影响到钱包不断迭代、升级过程中的安全是否有保障。同时,作为用户一定要从钱包的官网下载App,避免误入钓鱼网站下载到被植入了后门的钱包App。[2020/11/6 11:51:30]
亲爱的KuCoin用户:KuCoin将支持Flow(FLOW)网络升级和硬分叉。 具体安排如下: 1.于2021年9月15日19:00:00(UTC8),我们将暂停FLOW的充值和提现功能;马来.
尊敬的用户: HuobiGlobal将支持本次NEO与GAS主网的升级换链,HuobiGlobal将自动为平台用户把旧币兑换为新币,并依照Neo官方迁移公告,将换币奖励空投给用户.
尊敬的MEXC用戶: MEXC“1MIL持倉交易賽,瓜分50001MIL獎勵”活動已結束。現將交易排行獎名單公佈如下:恭喜以上獲得本次活動獎勵的用戶,其他獎項由於獲獎人數較多公告未展示,獎勵將於.
尊敬的用户: 币虎将上线CVD19,并开通CVD19/SUSDT交易市场,具体详情如下:1.开放充币:2021年9月14日14:00;2.开放交易:2021年9月14日18:00;慢雾创始人余弦.
9月11日消息,据知情人士透露,最近几周,Facebook高管一直在与拜登政府高级官员会面,试图缓解监管对其支付项目Diem的担忧.
亲爱的ZT用户: ZT创新板即将上线SAITAMA,并开启SAITAMA/USDT交易对。具体上线时间如下:充值:已开启;交易:2021年9月11日16:00?; SAITAMA 项目简介:Sa.
链资讯