買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > DOT > Info

ADM:慢霧:pGALA 事件根本原因系私鑰明文在 GitHub 泄露_adm幣是什么

Author:

Time:1900/1/1 0:00:00

ForesightNews消息,據慢霧區情報,11月4日,一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%。慢霧分析結果如下:1.在pGALA合約使用了透明代理模型,其存在三個特權角色,分別是Admin、DEFAULT_ADMIN_ROLE與MINTER_ROLE。2.Admin角色用于管理代理合約的升級以及更改代理合約Admin地址,DEFAULT_ADMIN_ROLE角色用于管理邏輯中各特權角色,MINTER_ROLE角色管理pGALA代幣鑄造權限。3.在此事件中,pGALA代理合約的Admin角色在合約部署時被指定為透明代理的proxyAdmin合約地址,DEFAULT_ADMIN_ROLE與MINTER_ROLE角色在初始化時指定由pNetwork控制。proxyAdmin合約還存在owner角色,owner角色為EOA地址,且owner可以通過proxyAdmin升級pGALA合約。4.但慢霧安全團隊發現proxyAdmin合約的owner地址的私鑰明文在Github泄漏了,因此任何獲得此私鑰的用戶都可以控制proxyAdmin合約隨時升級pGALA合約。5.proxyAdmin合約的owner地址已經在70天前被替換了,且由其管理的另一個項目pLOTTO疑似已被攻擊。6.由于透明代理的架構設計,pGALA代理合約的Admin角色更換也只能由proxyAdmin合約發起。因此在proxyAdmin合約的owner權限丟失后pGALA合約已處于隨時可被攻擊的風險中。綜上所述,pGALA事件的根本原因在于pGALA代理合約的Admin角色的owner私鑰在Github泄漏,且其owner地址已在70天前被惡意替換,導致pGALA合約處于隨時可被攻擊的風險中。

慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]

慢霧:去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息,2022年3月29日,Acutus的ACOWriter合約遭受攻擊,其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控,攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

Tags:MINPROULTADMMINEXPROGEMulticoinadm幣是什么

DOT
加密貨幣:比特幣多頭未能持有21,000美元,但專業交易者拒絕轉為看跌_穩定幣

?BTC空頭已成功將比特幣價格壓低至25,000美元以下,每日收盤147次,但衍生品數據顯示專業交易者并未絕望 公眾號:財圈小風 所有平臺均為,由于平臺限制,圖片未能展現出來.

1900/1/1 0:00:00
ASK:深度解析:對標Mask的Band,合約盤持倉超過現貨價值?_AND

MASK和狗靠老馬收購twitter消息起來的,twitter現在不打算弄什么加密錢包了,也沒法蹭了,另外mask好像還轉型了。消息面都是為拉盤而服務的,就是游資去找盤子小的幣去玩.

1900/1/1 0:00:00
AURORA:合并六周后,以太坊驗證者獲得獎勵的情況如何?_ROR

本文來自chainalysis&pintail,原文作者:?ERICJARDINE,由Odaily星球日報譯者Katie辜編譯。2022年9月15日,以太坊正式發生合并.

1900/1/1 0:00:00
OBI:Announcement on the Re-Minting of PGALA Token on TRON Network_THE

DearHuobiUsers,Theprivatekeyoftheowner(AdminofpGALAcontract)hasbeendisclosedinGithub.Thustheowner.

1900/1/1 0:00:00
ETH:CZ炫富?B安有80億美元ETH儲備、駁跟FTX開戰!_FTT

FTX暴雷FUD持續燃燒,幣安執行長CZ昨晚表明將會清倉幣安所有的FTT,引發FTX涌現大量的資金出逃潮,FTX的ETH儲備當前僅剩現價約1.89億美元的ETH.

1900/1/1 0:00:00
Cosmos 2.0升級關鍵時刻:影響深遠的三大提案懸而未決

很多人可能不知道的是,現在的Cosmos,正處在一個非常關鍵的時刻。你可能會疑惑?嗯?什么關鍵啊,不是前段時間剛剛發布了Cosmos2.0的線圖么,Token價格也隨之一路走高,貌似一切都在朝著.

1900/1/1 0:00:00
ads