比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Gate.io > Info

Brahma TopGear (brahTOPG) 項目存在外部調用風險,請迅速取消授權_ZAP

Author:

Time:1900/1/1 0:00:00

據慢霧安全團隊監測,ETH鏈上的brahTOPG項目遭到攻擊,攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下:

1.攻擊者首先查詢了受害用戶0x392472的余額,接著調用了Zapper合約的zapIn函數。

注重隱私的Brave瀏覽器在3月增加100萬新用戶:金色財經報道,專注于隱私的互聯網瀏覽器Brave在三月份增加了100萬新用戶。Brave首席執行官Brendan Eich今天在推特上表示,這使該瀏覽器的月活躍用戶(MAU)達到1350萬,日活躍用戶(DAU)達到430萬。[2020/4/3]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣,由于該函數傳入的參數是外部可控的,所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

動態 | 新加坡金管局:Libra可能影響國家貨幣政策:新加坡金融管理局(MAS)主管科技的助理局長黎日臣出席財新國際圓桌新加坡場的小組討論時稱,臉書推出虛擬貨幣Libra后,當局需要評估其將如何影響一個國家的貨幣政策。他表示, 金管局正在與臉書溝通,目前要監管或明確表態反對Libra,還言之過早。黎日臣稱,新加坡鼓勵創新,但也需要將風險控制在適當的程度,“要管理風險,必須先知道有哪些風險,要知道有哪些風險,必須先足夠了解產生風險的產品本身”。(財新網)[2019/9/20]

3.接著會調用內部函數zap,在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值,由于第二步的操作所以通過了該檢查。

金色財經現場報道,MATHEW BRANTON:當前數字貨幣的波動性是一個較為嚴峻的問題:在2018年世界數字資產峰會(WDAS)暨FBG年會上,來自NEUTRAL公司的MATHEW BRANTON表示,當前數字貨幣的波動性是一個較為嚴峻的問題,不穩定的情況下,數字貨幣難以被人們接受用作交易。[2018/5/2]

4.之后會外部調用假代幣合約的approve函數,該函數為攻擊者惡意構造,是為了給Zapper合約轉賬frax代幣,此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約,并且調用所傳入參數也是外部可構造的,所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟,總共攻擊了三次,轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題,攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags:ZAPAPPZapperZAPPkraken交易所下載AppZapper幣

Gate.io
Circle的SPAC合作伙伴擬將對Circle的收購交易時間推遲至明年1月底_SDC

據福布斯報道,美國證券交易委員會的一份文件顯示,Circle的SPAC合作伙伴ConcordAcquisitionGroup計劃將對USDC的主要發行方CircleInternetFinanci.

1900/1/1 0:00:00
報告:三季度鏈游和元宇宙項目融資額達12億美元,ENS域名注冊數環比增長72%_PIVX

Dappradar最新報告顯示,盡管目前市場低迷,但元宇宙和Web3游戲公司的融資規模仍相當可觀。鏈游和元宇宙項目在2022年已累計融資約70億美元,第三季度的融資額達到12億美元.

1900/1/1 0:00:00
金融時報披露FTX的緊急籌款意向書:曾在破產前尋求100億美元融資_區塊鏈

據金融時報獲取的一份準投資意向書顯示,在瀕臨破產之際FTX尋求高達100億美元的緊急資金。投資意向書中提供了兩種方案,一種是傳統投資,按投資方式和規模劃分;另一種是所謂整體組合投資,后者類似具有.

1900/1/1 0:00:00
上饒法院宣判一起384枚ETH盜幣案,被告獲刑十年零六個月_ICR

上饒饒市廣信區法院以盜竊罪近日對一起盜幣案作出判決,判處被告人李某某有期徒刑十年零六個月,并處罰金人民幣二十萬元.

1900/1/1 0:00:00
8項EIP已納入時間未定的以太坊上海升級考慮范圍,包括EIP-4895和EIP-4844_LOCK

據CoinDesk報道,周四,以太坊開發人員決定考慮將8項以太坊改進提案(EIP)納入該網絡即將推出的名為“上海”的硬分叉中.

1900/1/1 0:00:00
安全公司:SEAMAN項目遭閃電貸攻擊,攻擊者獲利約7800美元_SEA

安全公司CertiKAlert發推稱,SEAMAN項目遭閃電貸攻擊,開發者利用了SEAMAN處理LP存款上的GVC分配方式中的一個漏洞。該漏洞使GVC價格下跌,攻擊者共能獲利約7800美元.

1900/1/1 0:00:00
ads