安全公司慢霧對去中心化年金協議PunkProtocol遭遇攻擊的原理進行了解析。攻擊者首先調用CompoundModel合約的Initialize函數進行重復初始化操作將合約Forge角色設置為攻擊者指定的地址。隨后攻擊者為了最大程度的將合約中資金取出,其調用了invest函數將合約中的資金抵押至Compound中以取得抵押憑證cToken。最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取對應的底層資產并最終將其轉給Forge角色。withdrawToForge函數被限制只有Forge角色可以調用,但Forge角色已被重復初始化為攻擊者指定的地址,因此最終合約管理的資產都被轉移至攻擊者指定的地址。本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查,導致攻擊者直接調用此函數進行重復初始化替換Forge角色,最終造成合約管理的資產被盜。
安全公司:惡意npm包試圖竊取Discord令牌:12月10日消息,DevOps安全公司JFrog在npm(Node.js包管理器)存儲庫中發現17個新的惡意軟件包,這些軟件包故意試圖攻擊和竊取用戶的Discord令牌。JFrog安全研究高級主管Shachar Menashe和Andrey Polkovnychenko解釋說,劫持用戶的Discord令牌(用戶憑據)使攻擊者能夠完全控制用戶的賬戶。
Menashe表示,“如果執行得當,這種類型的攻擊會產生嚴重的影響,在這種情況下,公共黑客工具使這種攻擊變得足夠容易,即使是新手黑客也可以執行。我們建議各組織采取預防措施并管理其使用npm進行軟件管理,以降低將惡意代碼引入其應用程序的風險。”
兩人解釋說,這些軟件包的有效負載各不相同,從信息竊取者到完全遠程訪問后門。他們補充說,這些軟件包有不同的感染策略,包括鍵入錯誤、依賴性混淆和特洛伊木馬功能。這些軟件包已經從npm存儲庫中刪除,JFrog安全研究團隊表示,它們“在獲得大量下載之前”就被刪除了。
JFrog指出,由于Discord平臺是一款流行的視頻/語音/文本聊天應用程序,目前已擁有超過3.5億注冊用戶,因此旨在竊取Discord令牌的惡意軟件有所增加。(ZDNet)[2021/12/10 7:31:29]
分析 | 安全公司:Upbit交易所大額EOS 和XLM轉入Bittrex交易所操作或是Bittrex協助規避風險:今日 12:06分,成都鏈安態勢感知系統Beosin-Eagle eye檢測到以太坊Upbit交易所熱錢包地址向未知地址通過一筆交易轉移超過34萬ETH。黑客轉移342000ETH之后,該地址當時僅剩下111.3ETH,幾近掏空。北京時間11月27日13時18分,Upbit波場地址TDU1uJ向TA9FnQrL開頭的地址分批次轉移TRON幣,共計轉移超過11.6億枚TRON幣,2100萬枚BTT。北京時間11月27日13時02分,8628959枚EOS從Upbit EOS錢包地址轉至Bittrex交易所;北京時間11月27日1點55分左右,超過1.52億枚XLM從Upbit交易所轉移至Bittrex交易所。通過我們的進一步分析認為:EOS,XLM,TRON代幣的轉移很有可能是交易所觸發風控機制而進行的避險操作,并且有資料顯示Upbit和bittrex為合作關系,因此,大額EOS 和XLM轉入Bittrex交易所的操作可能是Bittrex協助規避風險。[2019/11/27]
動態 | 區塊鏈安全公司CipherTrace將在美國上市:金色財經報道,區塊鏈分析公司CipherTrace近期計劃在美國上市。CipherTrace首席財務分析師John Jefferies表示,該公司計劃在2020年后籌集“至多數億美元”,其競爭對手chain和Elliptic目前還沒有IPO計劃。[2019/11/12]
據福布斯消息,Sipher從頂級風投機構籌集了680萬美元,投資方包括Hashed、ArringtonCapital和KonvoyVentures.
1900/1/1 0:00:00加密結構化產品RibbonFinance宣布推出RibbonTreasury業務,為其他DAO提供原生代幣的波動性解決方案.
1900/1/1 0:00:00據Enterprisetimes報道,近日,紐約梅隆銀行發文宣布加入馬可波羅財團,致力于將區塊鏈技術引入國際貿易融資。其目的是使全球的供應商和買家的周轉資金數字化.
1900/1/1 0:00:00Terra生態收益管理平臺ApolloDAO宣布完成220萬美元私募融資,代幣單價為0.15美元.
1900/1/1 0:00:00針對MetaMask被摩根大通收購的傳言,MetaMask團隊在推特上進行了澄清,稱MetaMask沒有被任何金融機構收購,17位投資者持有ConsenSys的少量非控股股權.
1900/1/1 0:00:00據移動支付網了解,中國工商銀行已經在手機銀行APP的數字人民幣錢包中增加了“智能兌換”和“組合支付”新功能,以解決用戶在使用數字人民幣過程中的錢包余額過多或者余額不足的問題.
1900/1/1 0:00:00