比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BNB > Info

成都鏈安:Visor Finance遭受攻擊事件分析_FINA

Author:

Time:1900/1/1 0:00:00

據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,VisorFinance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

成都鏈安:Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示,Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<- 主要漏洞,造成本次攻擊的根本原因。2.函數未做防重入攻擊;<- 次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。針對這兩個問題,成都鏈安在此建議項目方應做好下面兩方面:1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。

仙人掌CTS智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成仙人掌CTS智能合約項目的安全審計服務。

?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈,同時包含去中心化穩定數字貨幣,去中心化預言機,去中心化保險,流動性挖礦,智能挖礦等等功能的創新和聚合,進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募,社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。

合約地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

審計報告編號:202009262149[2020/9/28]

2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。

分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

針對這兩個問題,成都鏈安建議項目方應做好下面兩方面:

1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;

2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。

此前消息稱,流動性管理協議VisorFinance遭黑客攻擊,損失約820萬美元。BentFinance官方表示,攻擊者盜取51.3萬cvxcrvLP代幣,建議所有用戶現在撤回其MIMLP。Bent上的cvxcrv和mimCurve池是受影響的池,已禁用cvxcrv和mim池的獎勵申領。

Tags:ANCVisorSORFINASupreme FinanceGastroAdvisorSOR幣Aroma Finance

BNB
云銀行初創公司Thought Machine完成2億美元的融資,Nyca Partners領投_INE

據TheBlock報道,云銀行初創公司ThoughtMachine完成2億美元融資,由NycaPartners領投.

1900/1/1 0:00:00
慢霧安全團隊分析Grim Finance被攻擊經過和原因_GRI

Fantom鏈上復合收益平臺GrimFinance遭遇閃電貸攻擊,涉及損失資金超3000萬美金.

1900/1/1 0:00:00
Bankless博客主持人:OpenSea 凍結被盜 NFT 資產策略僅對黑客有利_BAN

據AMBCrypto報道,OpenSea凍結被盜NFT資產策略引起社區廣泛質疑。根據OpenSea網站披露的政策信息顯示:當OpenSea收到可靠的報告或得知某件物品被盜時,我們會鎖定該NFT物.

1900/1/1 0:00:00
NFT風投機構Metaversal完成5000萬美元A輪融資,CoinFund等領投_區塊鏈

專注于NFT投資的風投機構Metaversal宣布以1.81億美元的估值完成5000萬美元A輪融資,由CoinFund和FoxhavenAssetManagement領投.

1900/1/1 0:00:00
部:破獲虛擬貨幣洗錢相關案件259起,收繳虛擬貨幣價值110億余元_虛擬資產

今日在部舉行的新聞發布會上,部網絡安全保衛局二級巡視員孔長青在回答記者提問時介紹了當前網絡黑灰產的種類和機關采取的打擊治理措施.

1900/1/1 0:00:00
加密貨幣交易所Latoken推特賬號被入侵_加密貨幣

據Cointelegragh報道,加密貨幣交易所Latoken的推特賬號被入侵,入侵者發布有關該交易所是騙局的指控.

1900/1/1 0:00:00
ads