比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

慢霧:BNB Bridge 攻擊者在 Fantom 上轉移 2600 萬美元_WBT

Author:

Time:1900/1/1 0:00:00

ForesightNews消息,據慢霧AML旗下MistTrack反洗錢追蹤系統監測顯示,在經過76天后,BNBBridge攻擊者在FTM上轉移2600萬美元。黑客從GeistFinance取出2600萬美元gUSDC并將所有USDC轉移到以「0x5ad0」開頭的新地址。新地址通過Stargate和Multichain將USDC兌換為ETH。在經過多次兌換后,Lido流動性增加(10095.12stETH和6482.11ETH)。黑客本次共使用了Stargate、SpookySwap、Multichain、UniswapLabs、Balancer和Lido等平臺。ForesightNews此前消息,10月7日,BNBChain官方橋BinanceBridge遭遇黑客攻擊,約200萬枚BNB被攻擊者取出,價值5.66億美元。據社媒賬號CIAOfficer的獨立分析師表示,該筆攻擊目前包括104萬枚BNB、價值3.89億美元的venusBNB,以及2800萬美元BUSD,共7.18億美元。該金額為史上最大鏈上攻擊。

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

Tags:USDWBTUSDTWBTCUSDRwbt幣流通量Compound USDTMWBTC幣

火幣交易所
KuCoin賺幣上綫BNB雙幣盈產品_COI

親愛的KuCoin用戶,自上綫以來,雙幣盈廣受用戶關注和喜愛。應用戶要求經運營團隊決定,KuCoin賺幣將於2022年12月28日18:00:00(UTC8)上線BNB和BNB-U雙幣盈產品.

1900/1/1 0:00:00
星球日報 | 以太坊質押提款Devnet測試網已于近日啟動;Aave將于明年1月發布穩定幣GHO公共測試網(12月27日)_DAILY

以太坊質押提款?Devnet?已啟動,即將推出公開測試網Odaily星球日報訊以太坊新聞周刊創始人?EvanVanNess?發推稱,以太坊質押提款?Devnet?測試網已于近日啟動.

1900/1/1 0:00:00
趙長鵬回應資產縮水:做慈善遠比基于“估計”的財富排名重要_福布斯

12月27日消息,幣安首席執行官趙長鵬對《福布斯》發布的“加密富豪2022年資產縮水排名表”回應稱,他認為《福布斯》高估了三月的加密資產價值,忽略了損失;并且他們仍然高估了當前的凈資產.

1900/1/1 0:00:00
Weekly MegaCash - Free to earn! Week 5: $50,000 for 1 and $50 for 10 lucky participants!

!(https://gimg2.gateimg.com/image/1672045567782529276Bannerweek5-03.

1900/1/1 0:00:00
空投埋伏日記:NEAR、Furion、UniPass(12月23日)_TOC

熊市漫漫,熱點分散。在缺乏明確投資機會的當下,本著“寧可錯付gas,不能放過大毛”的原則,我將視線與精力投向了優質項目交互,說不定還能提前發現下一價值標的,是吧.

1900/1/1 0:00:00
雙旦贏大獎,100%可得!_COI

親愛的用戶: 感謝您一路以來對CoinW的支持。2022年是艱難的一年。市場進入熊市,比特幣跌幅高達70%,更有新冠肺炎病席卷全球,給大家的生活帶來諸多不便.

1900/1/1 0:00:00
ads