買以太坊 買以太坊
Ctrl+D 買以太坊
ads

TOKE:慢霧:Moonbirds 的 Nesting Contract 存在安全隱患,建議用戶自行排查_LightHouse Token

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧區情報反饋,Moonbirds發布安全公告,NestingContract存在安全問題。據悉,當用戶在OpenSea或者LooksRare等NFT交易市場進行掛單售賣時,賣家不能僅通過執行nesting(筑巢)來禁止NFT售賣,而是要在交易市場中下架相關的NFT售賣訂單。否則在某個特定場景下買家將會繞過Moonbirds在nesting(筑巢)時不能交易的限制。

慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。

5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議Moonbirds用戶自行排查自已nesting(筑巢)的NFT是否還在NTF市場中上架,如果已上架要及時進行下架。更多的漏洞細節請等待Moonbirds官方的披露。

慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;

2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;

3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;

7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;

9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

分析 | 慢霧:攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析,從DragonEx公布的“攻擊者地址”的分析來看,20 個幣種都被盜取(但還有一些DragonEx可交易的知名幣種并沒被公布),從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同,攻擊持續的時間至少有1天,但能造成這種大面積盜取結果的,至少可以推論出:攻擊者拿下了DragonEx盡可能多的權限,更多細節請留意后續披露。[2019/3/26]

Tags:TOKTOKENTOKEKENWhiteNode TokenPrideTokenSantiment Network TokenLightHouse Token

芝麻開門交易所
WEB3:重新定義社交媒體:我們離Web3還有多遠?_區塊鏈

作者:NFTGo KeyTakeaway Web2的社交媒體具有流量壟斷地位,Web3帶來了一些變量,使用戶走在產品開發之前。同時社交媒體巨頭正在進軍NFT領域,并嘗試與自己的業務場景做融合.

1900/1/1 0:00:00
AME:A16z 新基金 6 億美元 All in 元宇宙游戲,Gamefi 的未來會如何走?_Matching game

作者:隔夜的粥,巴比特 北京時間5月18日晚上,硅谷頂級VCa16z宣布推出了一只規模6億美元的元宇宙游戲基金,致力于投資游戲行業最優秀的創始人.

1900/1/1 0:00:00
Kucoin:KuCoin Ventures 宣布投資 Web3 游戲開發平臺 Joyride_Ordocoin

鏈捕手消息,加密貨幣交易平臺KuCoin宣布,其風險投資部門KuCoinVentures已投資Web3游戲開發平臺JoyrideGames.

1900/1/1 0:00:00
Foresight Ventures: 去中心化 NFT 交易協議將擊敗 OpenSea

作者:Alex,ForesightVentures 摘要: 去中心化NFT交易協議之于NFTMarket,如同AMM之于DEX.

1900/1/1 0:00:00
元宇宙:從 Bloktopia、Decentraland、The Sandbox 和 Otherside 來回顧虛擬房產市場的發展趨勢_THE

作者:Kit,CatcherVC 引言 “Decentraland一塊地皮被Token.com以240萬美金購入”.

1900/1/1 0:00:00
ETA:MetaMask 等至少 10 款瀏覽器插件錢包存在安全漏洞,部分錢包已修復漏洞_METASH

鏈捕手消息,據CoinDesk報道,包括MetaMask和Phantom在內的至少10款瀏覽器插件錢包由于Javascript語言中的某個問題導致可能存在暴露登錄信息的可能性.

1900/1/1 0:00:00
ads