CIS:慢霧分析：Opyn 合約攻擊者可以任意重置已創建 vault 地址來通過檢查_EXE幣

鏈聞消息，慢霧安全團隊表示，在其中一筆Opyn合約的攻擊中，攻擊者僅使用272ETH最終得到467ETH。完整的攻擊流程如下：攻擊者使用合約先啟動Opyn合約的reateERC20CollateralOption函數創建oToken。合攻擊約調用運動函數，傳入已創建庫的地址。通過exercise函數中用于循環邏輯執行調用兩次_exercise函數。exercise函數調用transferCollateral函數將USDC轉給函數調用者。攻擊合約調用removeUnderlying函數將預先定義的ETH轉出。最終攻擊者拿回了戰斗補充的ETH以及額外的USDC。此次攻擊主要是利用了_exercise函數中對vaultToExerciseFrom是否創建了vault的檢查缺陷。此檢查未糾正vaultToExerciseFrom是否是由參與者自己，而只是簡單的檢查是否創建了vault，導致攻擊者可以任意重置已創建vault的地址來通過檢查。

慢霧：V神相關地址近日于Uniswap賣出3000枚以太坊:11月14日消息，據慢霧監測顯示，以太坊創始人Vitalik Buterin地址（0xe692開頭）近日在Uniswap V3上分三筆將3000枚以太坊（約400萬美元）兌換成了USDC。[2022/11/14 13:03:22]

聲音 | 慢霧余弦：區塊鏈安全漏洞引起的財產損失未來將進一步擴大:據算力智庫微信公眾號文章，公開資料數據顯示，2011-2019年之間，由區塊鏈安全漏洞引起的損失高達84億美元。其中，交易所是重災區，占比近一半。對此，慢霧余弦表示，一方面，交易所的門檻比以往低了很多，而安全防護水平又層次不齊，對于地下黑客來說那就是滿地黃金。此外，這一數據的背后體現了了人們對加密貨幣市場，對區塊鏈的認同。基于這個共識，行業規模擴大，錯誤也隨之放大。未來這一數據增幅還將繼續擴大。對于中心化的交易所而言，會受到傳統行業的攻擊，如服務器、辦公網等，也和公鏈、智能合約有關。每一環都有可能存在的安全問題。他建議把IT建設的預算中拿出15%-20%作為安全預算，其中包括人員的成本維護，殺軟件，防火墻的購置等。但是這并不代表你配置了這些就一定不會被黑。拋開攻防博弈成本去看待這個問題是不客觀的。你每投入一定的比例，那攻擊門檻則相對提高了一個臺階。相對來說你被黑的概率會低很多，但我們這個行業沒有人可以給出這樣的一個永不被黑的承諾。[2019/10/30]

聲音 | 慢霧預警：DNS劫持靜默攻擊全球蔓延 一旦劫持 用戶數字資產可被輕易竊取:慢霧安全團隊注意到 FireEye 近日的情報披露《全球 DNS 劫持活動：大規模操縱 DNS 記錄》。據悉，其中最關鍵的部分是明確指出有三種 DNS 劫持手法可以完成靜默攻擊（用戶無法察覺訪問的目標網站或 Web 服務是否已經被劫持）。如果數字貨幣交易所遭遇了DNS靜默攻擊，將導致交易所用戶的數字資產可能被輕易盜取。慢霧安全團隊進一步解釋道，“這個攻擊很高端，但也不難，遲早會有被這樣手法攻擊的數字貨幣相關平臺。”不過，目前還未知是否已經有交易所遭遇類似攻擊。[2019/1/11]

Tags：ISECISEXEDNSWise TokenCIS價格EXE幣dns幣的價格

Pol幣