比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BNB > Info

慢霧:Optimism 最大 NFT 平臺 Quixotic 出現漏洞,大量用戶資產被盜_UBI

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧安全團隊情報,2022年7月1號,Optimism生態最大NFT平臺Quixotic出現嚴重漏洞,大量用戶資產被盜,提醒在該市場上進行過交易的用戶盡快取消授權。

慢霧:CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息,慢霧發推稱,CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示,TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX,而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]

據悉,平臺在市場合約的fillSellOrder函數中僅對賣單進行了檢查,并未對買家的買單做檢查。故攻擊者首先創建了任意的NFT合約,調用fillSellOrder函數生成賣單,將buyer參數傳為受害者地址、paymentERC20參數傳為需要盜取的代幣地址,即可將對該市場合約有授權的用戶的代幣轉走獲利。

慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

用戶可利用Optimism官方瀏覽器的授權管理功能https://optimistic.etherscan.io/tokenapprovalchecker查看或者取消授權。

動態 | 慢霧:10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示,過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊,手法包括但不限于:第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施,例如:1. 密切注意第三方 JS 鏈接風險;2. 提幣地址應為白名單地址,添加時設置雙因素校驗,用戶提幣時從白名單地址中選擇,后臺嚴格做好校驗。此外,也要多加注意內部后臺的權限控制,防止內部作案。[2019/11/1]

Tags:USDRUBUBIRubicAave SUSDSilubiu

BNB
Gitcoin 聯合創始人:DAO 是影響工作的新方式_DAO

作者:ScottMoore,Gitcoin聯合創始人原文標題:《DAOsAretheNewWayofImpactWork》編譯:BlockunicornWeb3社區在本質上是根植于深刻的樂觀主義.

1900/1/1 0:00:00
9 個新項目,StarkNet 黑客松獲獎項目一覽_STARK

原文標題:《STARKNETALPHA》原文作者:AnthonyBeaumont,EncodeClub聯創原文編譯:TechFlowinter上周.

1900/1/1 0:00:00
前 Google 工程師告訴你,NFT 可用于哪15個領域_DEFI

撰文:shivsakhuja@MagikLabs,《TheREALusecasesofNFTs:AVisualExploration》 編譯:比得潘 你聽說過技術成熟度曲線嗎.

1900/1/1 0:00:00
Web3 教育初創公司 Nas Academy 完成1200萬美元融資,FTX Ventures等參投_WEB

鏈捕手消息,據Techinasia報道,新加坡Web3教育初創公司NasAcademy宣布完成1200萬美元融資,BECOCapital和PitangoVentureCapital領投.

1900/1/1 0:00:00
模塊化公鏈 Celestia 到底是什么?_STI

作者:Chole,鏈茶館一直以來,區塊鏈都是執行狀態機復制的分布式網絡,分成了數據、共識、執行這三層.

1900/1/1 0:00:00
跨鏈流動性協議 Synapse 將推出 Optimistic Rollup「Synapse Chain」和發布 Synapse V2_NAP

鏈捕手消息,跨鏈流動性協議Synapse宣布將推出基于以太坊的OptimisticRollup「SynapseChain」,通過利用Synapse的通用跨鏈消息傳遞系統和代幣橋.

1900/1/1 0:00:00
ads