安全公司慢霧：Punk Protocol被攻擊主要因其未做重復初始化檢查_FOR

安全公司慢霧對去中心化年金協議PunkProtocol遭遇攻擊的原理進行了解析。攻擊者首先調用CompoundModel合約的Initialize函數進行重復初始化操作將合約Forge角色設置為攻擊者指定的地址。隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中以取得抵押憑證cToken。最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取對應的底層資產并最終將其轉給Forge角色。withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

安全公司：SEAMAN項目遭閃電貸攻擊，攻擊者獲利約7800美元:金色財經報道，安全公司CertiK Alert發推稱，SEAMAN 項目遭閃電貸攻擊，開發者利用了 SEAMAN 處理 LP 存款上的 GVC 分 配方式中的一個漏洞。該漏洞使 GVC 價格下跌，攻擊者共能獲利約 7800 美元。

SEAMAN 合約：BSC 0x6bc9b4976ba6f8C9574326375204eE469993D038

Great Voyage Coin (GVC) 合約：BSC 0xDB95FBc5532eEb43DeEd56c8dc050c930e31017e[2022/11/29 21:10:05]

安全公司分析師：不應相信勒索組織有關停止攻擊醫療組織的承諾:金色財經報道，網絡安全公司Emsisoft的威脅分析師Brett Callow表示，最近有多個勒索軟件組織承諾，在冠狀病流行期間停止針對醫療組織的攻擊活動。Callow認為這些承諾無關緊要，并且應該完全不考慮。Callow反問稱：“您會不會僅僅因為當地小偷曾承諾不搶劫而將前門解鎖？”[2020/4/17]

動態 | 安全公司發現新型門羅幣惡意挖礦軟件BlackSquid:據Zdnet消息，6月3日，安全公司Trend Micro發現新的惡意軟件BlackSquid，并稱其“十分危險”。該惡意軟件的目的是破壞網絡服務器、網絡驅動器和可移動存儲，以便在目標設備上安裝門羅幣挖礦腳本XMRig。[2019/6/4]

Tags：FORGEFORORGMANVulcan ForgedReforestation MahoganyShibaCorgiAave MANA

比特幣最新價格