TTR:安全公司慢霧：Punk Protocol被攻擊主要因其未做重復初始化檢查_CORGIB

安全公司慢霧對去中心化年金協議PunkProtocol遭遇攻擊的原理進行了解析。攻擊者首先調用CompoundModel合約的Initialize函數進行重復初始化操作將合約Forge角色設置為攻擊者指定的地址。隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中以取得抵押憑證cToken。最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取對應的底層資產并最終將其轉給Forge角色。withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

安全公司：惡意npm包試圖竊取Discord令牌:12月10日消息，DevOps安全公司JFrog在npm（Node.js包管理器）存儲庫中發現17個新的惡意軟件包，這些軟件包故意試圖攻擊和竊取用戶的Discord令牌。JFrog安全研究高級主管Shachar Menashe和Andrey Polkovnychenko解釋說，劫持用戶的Discord令牌（用戶憑據）使攻擊者能夠完全控制用戶的賬戶。

Menashe表示，“如果執行得當，這種類型的攻擊會產生嚴重的影響，在這種情況下，公共黑客工具使這種攻擊變得足夠容易，即使是新手黑客也可以執行。我們建議各組織采取預防措施并管理其使用npm進行軟件管理，以降低將惡意代碼引入其應用程序的風險。”

兩人解釋說，這些軟件包的有效負載各不相同，從信息竊取者到完全遠程訪問后門。他們補充說，這些軟件包有不同的感染策略，包括鍵入錯誤、依賴性混淆和特洛伊木馬功能。這些軟件包已經從npm存儲庫中刪除，JFrog安全研究團隊表示，它們“在獲得大量下載之前”就被刪除了。

JFrog指出，由于Discord平臺是一款流行的視頻/語音/文本聊天應用程序，目前已擁有超過3.5億注冊用戶，因此旨在竊取Discord令牌的惡意軟件有所增加。（ZDNet）[2021/12/10 7:31:29]

分析 | 安全公司：Upbit交易所大額EOS 和XLM轉入Bittrex交易所操作或是Bittrex協助規避風險:今日 12:06分，成都鏈安態勢感知系統Beosin-Eagle eye檢測到以太坊Upbit交易所熱錢包地址向未知地址通過一筆交易轉移超過34萬ETH。黑客轉移342000ETH之后，該地址當時僅剩下111.3ETH,幾近掏空。北京時間11月27日13時18分，Upbit波場地址TDU1uJ向TA9FnQrL開頭的地址分批次轉移TRON幣，共計轉移超過11.6億枚TRON幣，2100萬枚BTT。北京時間11月27日13時02分，8628959枚EOS從Upbit EOS錢包地址轉至Bittrex交易所；北京時間11月27日1點55分左右，超過1.52億枚XLM從Upbit交易所轉移至Bittrex交易所。通過我們的進一步分析認為：EOS，XLM，TRON代幣的轉移很有可能是交易所觸發風控機制而進行的避險操作，并且有資料顯示Upbit和bittrex為合作關系，因此，大額EOS 和XLM轉入Bittrex交易所的操作可能是Bittrex協助規避風險。[2019/11/27]

動態 | 區塊鏈安全公司CipherTrace將在美國上市:金色財經報道，區塊鏈分析公司CipherTrace近期計劃在美國上市。CipherTrace首席財務分析師John Jefferies表示，該公司計劃在2020年后籌集“至多數億美元”，其競爭對手chain和Elliptic目前還沒有IPO計劃。[2019/11/12]

Tags：BITBittrexTTRORGbitmart交易平臺AttraceCORGIB

Gateio