比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:SushiSwap 攻擊者通過構造惡意 route 參數,以竊取其他已授權用戶的代幣_ETH

Author:

Time:1900/1/1 0:00:00

ForesightNews消息,據慢霧安全團隊情報,2023年4月9日,SUSHIRouteProcessor2遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:1.根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查,導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。2.由于在合約中并未對Pool是否合法進行檢查,直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。3.惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數,由于lastCalledPool變量已被設置為Pool,因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。4.攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數,以竊取其他已對RouteProcessor2授權的用戶的代幣。幸運的是部分用戶的資金已被白帽搶跑,有望收回,慢霧安全團隊建議RouteProcessor2的用戶及時撤銷對0x044b75f554b886a065b9567891e45c79542d7357的授權。

慢霧:從Multichain流出的資金總額高達2.65億美元,分布在9條鏈:金色財經報道,自7月7日以來,從 Multichain 流出的資金總額高達 2.65 億美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結,1,296,990.99 ICE(約 162 萬美元) 被 Token 發行方 Burn。流出的資金中,包括:

1)從 Multichain: Old BSC Bridge 轉出的 USDT;

2)從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;

3)從 Anyswap: Bridge Fantom 轉出的 BIFI;

4)從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC;

5)從 MultiChain: Doge Bridge 轉出的 USDC;

6)從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;

7)從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH,同時我們認為該標記(Fake Phishing183873)或許是 Etherscan 上的虛假標記,地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]

慢霧:仍有大部分錢包支持eth_sign,僅少部分錢包提供安全風險警告:金色財經報道,在加密貨幣NFT板塊,越來越多的釣魚網站濫用 eth_sign 簽名功能來進行盲簽欺詐,提醒或禁用這種低級的簽名方法對于保護用戶安全是至關重要的,不少 Web3 錢包已經采取相關措施來對這種危險的簽名方法進行安全提示和限制。仍有一大部分加密錢包支持 eth_sign,其中少部分錢包提供 eth_sign 安全風險警告。如果用戶仍想要使用 eth_sign,他們可以選擇支持該功能的加密錢包。但是,用戶在使用這些錢包時需要特別注意安全警告,以確保其交易的安全性。[2023/5/11 14:57:14]

動態 | 慢霧:10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示,過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊,手法包括但不限于:第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施,例如:1. 密切注意第三方 JS 鏈接風險;2. 提幣地址應為白名單地址,添加時設置雙因素校驗,用戶提幣時從白名單地址中選擇,后臺嚴格做好校驗。此外,也要多加注意內部后臺的權限控制,防止內部作案。[2019/11/1]

Tags:ETHUSDChainCHACompound Ether泰達幣usdt能投資嗎MesChaincckkchain

火必交易所
GPT-5將年底推出,有哪些風險?意德法等開禁ChatGPT_GPT

OpenAI在上月宣布上線新的升級版本GPT-4后,又馬不停蹄地公布了未來GPT-4.5的細節,并表示將在2023年底推出GPT-5.

1900/1/1 0:00:00
不只免稅還要立專法!日本發表Web3 白皮書,里面寫了什么?_TIM

日本加緊擁抱Web3,提出友善監管、修改稅法、促進加密貨幣大規模采用等提議,日本Web3白皮書里還寫了些什么?將如何改變日本的產業環境? 公眾呺:Web3團子 日本發布Web3白皮書 正當各國政.

1900/1/1 0:00:00
BitVenus研究院2023/04/10_ENU

?關鍵詞:#zkSync#Arbitrum#OpenSea?1.借貸協議VenusProtocol一季度回購和資金分配提案獲得通過.

1900/1/1 0:00:00
ConsenSys深入解讀:關于ETH質押提款的終極指南_ETH

原文標題:ConsenSys:上海升級ETH質押提款終極指南原文來源:ConsenSys?原文編譯:LynnMarsBit 摘要 以太坊正在經歷一個基礎設施快速發展的時期.

1900/1/1 0:00:00
關鍵點的比特幣價格25,000 美元還是30,000 美元?_BTC

?比特幣在過去三周內第七次在28,600美元的阻力位被拒絕。因此,對于比特幣價格是否處于另一次投降的邊緣,或者空頭是否正在失去動力并且突破30,000美元終于到來,分析師存在分歧.

1900/1/1 0:00:00
8V合約交易競賽 享紅包大禮_FIC

親愛的8V用戶: 合約交易,是一種可以透過杠桿,用較小資金、較低的交易成本,來投機操作的短線交易工具,對于想要短線做大金額交易的人來說.

1900/1/1 0:00:00
ads