GoPocket核心開發者BenLaw此前發推稱,ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析,此缺陷本質上是由于owner權限過大問題,在ERC721R示例合約中owner可以通過setRefundAddress函數任意設置接收用戶退回的NFT地址。當此退回地址持有目標NFT時,其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在ownerMint函數,owner可在NFTmint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。??
慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。
其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]
慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。
慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:
1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;
2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;
3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;
4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;
5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;
6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;
7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;
8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]
慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]
企業級區塊鏈平臺BlockApps總裁兼首席執行官KierenJames-Lubin表示,BlockApps完成4100萬美元融資,以繼續向企業區塊鏈領域擴張.
1900/1/1 0:00:00據智通財經報道,由于Meta平臺的股價今年下跌超過34%,部分股東表示,他們計劃推動對CEO馬克·扎克伯格的權力審查。Meta平臺的投資者計劃在即將召開的股東大會上推動兩項決議.
1900/1/1 0:00:00慢霧發布iCloud用戶的MetaMask錢包遭遇釣魚攻擊簡析。稱首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任.
1900/1/1 0:00:00有著“冰王子”之稱的俄羅斯著名花滑運動員普魯申科在推特上宣布將攜手自創的IceDeerNFT入駐DreamVerse元宇宙,打造祈望世界和平的冰上莊園.
1900/1/1 0:00:00NFT平臺LiveArtX已經獲得超過450萬美元的投資承諾,投資方將包括AnimocaBrands、Binance、KuCoin、AlamedaVentures、OKXBlockDreamCa.
1900/1/1 0:00:00Web3媒體開發工具公司DNABLOCK宣布完成700萬美元第二輪種子輪融資,Sfermion、SolanaVentures、AnimocaBrands和Non-FungibleLabs領投.
1900/1/1 0:00:00