金色財經報道,據慢霧安全團隊情報,2023年4月9日,SUSHIRouteProcessor2遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:1.根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查,導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。2.由于在合約中并未對Pool是否合法進行檢查,直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。3.惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數,由于lastCalledPool變量已被設置為Pool,因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。4.攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數,以竊取其他已對RouteProcessor2授權的用戶的代幣。幸運的是部分用戶的資金已被白帽搶跑,有望收回。慢霧安全團隊建議RouteProcessor2的用戶及時撤銷對0x044b75f554b886a065b9567891e45c79542d7357的授權。
安全團隊:2000萬枚USDT從幣安轉移至“0x02ed”開頭鯨魚地址:金色財經報道,據派盾監測數據顯示,2000萬枚USDT已經從Binance轉入“0x02ed”開頭鯨魚地址并存入Aave Protocol V2中。[2022/12/6 21:25:18]
Cobo安全團隊詳解Stargate漏洞:可能導致偽造的交易receipt通過MPT驗證:3月29日消息,Cobo安全團隊撰文對Stargate跨鏈橋底層協議LayerZero的安全漏洞進行分析,稱原始漏洞代碼在進行MPT 驗證時,沒有限制pointer 在proofBytes 長度內,這個漏洞有可能讓攻擊者偽造hashRoot,導致偽造的交易receipt 可以通過MPT 驗證。最終可造成的后果是,在預言機完全可信的前提下,Relayer 仍可以單方面通過偽造receipt 數據的方式來實現對跨鏈協議的攻擊。
值得注意的是,此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議(例如Stargate)正常運作的基石。Cobo安全團隊還表示,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有采用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。[2022/3/29 14:24:49]
分析 | 安全團隊:門羅幣挖礦惡意軟件感染Windows操作系統:據Cryptodaily報道,網絡安全團隊Trend Micro近日發現了一款冒充門羅幣挖礦軟件的惡意軟件,該軟件針對Windows用戶,MIMIKATZ和RADMIN。該團隊解釋稱,此軟件利用MIMIKATZ和RADMIN進行傳播,同時利用關鍵漏洞,使黑客能夠利用類似蠕蟲的東西傳播惡意軟件,以針對行業中的特定系統,而且不會被立即檢測到。[2019/3/3]
GMX的費用和收入急劇下降,但價格走勢仍然看漲。活躍用戶也下降了,鏈上性能令人擔憂。Dune的最新數據顯示,自11月10日以來,GMX的交易量從90%的市場主導地位暴跌至40%.
1900/1/1 0:00:00金色財經報道,歐洲太平洋資本CEO兼首席全球策略師PeterSchiff評論稱,ChatGPT不建議將資金分配給比特幣,證明人工智能還是相當有智慧的.
1900/1/1 0:00:00近期市場冷清,唯一具有話題的事件僅剩以太坊上海升級,但這是否能推動相關賽道,如ETH與流動性質押概念幣的上漲,市場并沒有共識.
1900/1/1 0:00:00上個周末如果你常刷推特的話,大概率會看到一個叫PoolParty的項目,一個以Cournot式競爭方式為特點的?DeFi?平臺,該平臺以游戲化的形式運作.
1900/1/1 0:00:00金色財經報道,與許多初創公司一樣,私人初創公司OpenSea不允許員工或投資者在未經董事會批準的情況下出售其股份.
1900/1/1 0:00:004月10日消息,Snapshot投票頁面顯示,針對Arbitrum社區提議“將基金會剩余的7億枚ARB返還給DAO”的提案AIP-1.05.
1900/1/1 0:00:00