買以太坊 買以太坊
Ctrl+D 買以太坊
ads

UNN:慢霧:Numbers Protocol (NUM)代幣項目遭攻擊,請用戶迅速取消對跨鏈橋的授權_BUNNY

Author:

Time:1900/1/1 0:00:00

據慢霧安全團隊情報,ETH鏈上的NumbersProtocol代幣項目遭到攻擊,攻擊者獲利約13,836美元。慢霧安全團隊以簡訊形式分享如下:

1.攻擊者創建了一個惡意的anyToken代幣,即攻擊合約,該惡意代幣合約的底層代幣指向NUM代幣地址;

慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]

2.接著調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數,該函數的功能是傳入anyToken并調用底層代幣的permit函數進行簽名批準,之后兌換出擁有授權的用戶的底層代幣給指定地址。但是由于NUM代幣中沒有permit函數且擁有回調功能,所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗,導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中;

慢霧:PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊,慢霧安全團隊解析:這是一次典型的利用閃電貸操作價格的攻擊,其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷,而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式,最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格,使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議,在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]

3.接著攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利;

動態 | 慢霧:2020年加密貨幣勒索蠕蟲已勒索到 8 筆比特幣:慢霧科技反洗錢(AML)系統監測:世界最早的知名加密貨幣勒索蠕蟲 WannaCry 還在網絡空間中茍延殘喘,通過對其三個傳播版本的行為分析,其中兩個最后一次勒索收到的比特幣分別是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年僅發生一次,另外一個 2020 還在活躍,2020 開始已經勒索收到 8 筆比特幣支付,但額度都很低 0.0001-0.0002 枚之間。這三個傳播版本第一次發生的比特幣收益都是在 2017-05-12,總收益比特幣 54.43334953 枚。雖然收益很少,但 WannaCry 可以被認為是加密貨幣歷史上勒索作惡的鼻主蠕蟲,其傳播核心是 2017-04-13 NSA 方程式組織被 ShdowBrokers(影子經紀人) 泄露第三批網絡軍火里的“永恒之藍”(EternalBlue)漏洞,其成功的全球影響力且匿名性為之后的一系列勒索蠕蟲(如 GandCrab)帶來了巨大促進。[2020/2/23]

此次攻擊的主要原因在于NUM代幣中沒有permit函數且具有回調功能,所以可以傳入假簽名欺騙跨鏈橋導致用戶資產被非預期轉出。

參考攻擊交易:https://etherscan.io/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32

Tags:BUNNYBUNUNNSWAPPancakeBunnyBunny Inusunny幣最新消息CheesecakeSwap Token

中幣下載
CEL:外媒:Celsius被質疑挪用此前為烏克蘭募捐的資金_ECELL價格

據CoinDesk報道,推特上的批評者指控加密借貸平臺Celsius挪用此前為烏克蘭募捐的資金,并確保最高管理層在債權人之前得到償付.

1900/1/1 0:00:00
加密貨幣:韓媒:韓國加密稅收延期政策若未能在國會上通過,加密征稅將于明年執行_YOO

據韓聯社報道,隨著韓國預定于明年生效的虛擬資產稅臨近一個月左右,該國加密行業的困惑正在增加,因為目前尚不清楚是否推遲征稅.

1900/1/1 0:00:00
CFT:美國CFTC主席:FTX衍生品業務仍健康運營應該歸功于政府監管_CFT價格

據CoinDesk報道,美國商品期貨交易委員會(CFTC)主席RostinBehnam周一在芝加哥舉行的期貨行業協會(FIA)活動中表示,盡管FTX集團其它子公司都已崩盤.

1900/1/1 0:00:00
LED:香港特首:金管局正研究市場對監管穩定幣的意見,已開展“數碼港元”準備工作_CHA

香港特區行政長官李家超在其首份《施政報告》中表示,不斷提升金融科技競爭力。會大力推動金融科技,包括鼓勵更多金融科技服務及產品進行概念驗證測試、推進跨境金融科技項目、培育金融科技人才等.

1900/1/1 0:00:00
NBA:美國法院取消律所Roche Freedman代理Tether和Bitfinex集體訴訟案原告的資格_coinbase中文版下載

據彭博社周四報道,律所RocheFreedman被取消代理針對加密交易所Bitfinex和穩定幣發行商Tether的集體訴訟原告的資格,此兩個案件指控Bitfinex和Tether操縱市場.

1900/1/1 0:00:00
BIT:L2跨鏈橋Orbiter Finance完成首輪融資,Tiger Global等參投_TAL

據官方推特,Layer2跨鏈橋OrbiterFinance宣布完成首輪融資,TigerGlobal、Matrixport、A&TCapital、Starkware、CoboVenture.

1900/1/1 0:00:00
ads