慢霧安全團隊對此前7月10日OMNIProtocol閃電貸攻擊事件進行了分析:1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken;2.調用borrow函數借出WETH;3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現,提款會先通過burn函數去燃燒憑證而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數,攻擊者利用這點重入了合約的liquidationERC721函數;4.在liquidationERC721函數中,攻擊者先支付了WETH并接收doodlenft,接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證,同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH,但由于vars變量是在liquidationERC721函數中定義的,因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為;5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識,假如借款標識為false,則不會判斷用戶的負債,故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利
慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]
此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題,并且在清算函數中使用的是舊的vars的值進行判斷,導致了即使重入后再借款,但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。
慢霧:ERC721R示例合約存在缺陷,本質上是由于owner權限過大問題:4月12日消息,據@BenWAGMI消息,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。
當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數,owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]
聲音 | 慢霧余弦:MimbleWimble并沒完全解決“交易隱私”問題:區塊鏈安全公司慢霧創始人余弦發微博稱,MimbleWimble并沒完全解決“交易隱私”問題,它讓交易在區塊鏈上不會暴露隱私,這個實現確實很漂亮,但由于它交易的特殊性,這導致相比其他匿名貨幣,基于 MimbleWimble 實現的在鏈下隱私與安全會遭遇更大挑戰。[2019/3/22]
加密貨幣交易所KuCoin以交易所交易基金(ETF)的形式向散戶投資者提供頂級不可替代代幣(NFT)的部分所有權,該ETF產品以USDT計價,并提供五個藍籌NFT集合的部分所有權.
1900/1/1 0:00:00OPLabs推特發文稱,EIP-4844將大幅降低Rollup費用,使以太坊能夠在不犧牲去中心化的情況下擴容.
1900/1/1 0:00:00據FNnews報道,Bithumb最大股東Vidente今日表示,FTX正在接洽收購加密交易所Bithumb的報道屬實.
1900/1/1 0:00:00據《華爾街日報》報道,盡管熊市造成損失,但北美各地的養老基金仍然看好加密貨幣,這種興趣尤其反映在資產管理公司VanEck中.
1900/1/1 0:00:00據彭博社報道,美國證券交易委員會宣布9種代幣為證券的行為讓美國商品期貨交易委員會感到失望。知情人士透露,美國商品期貨交易委員會也曾調查內幕交易指控,但因SEC上周四宣布9種代幣為證券且在其管轄范.
1900/1/1 0:00:00專注于NFT的Web3基礎設施供應商Pinata宣布完成2150萬美元融資,其中包括來自最近完成的1800萬美元的A輪融資和2021年的350萬美元種子輪融資.
1900/1/1 0:00:00