比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > PEPE > Info

慢霧設置交易所正常合約賬號的白名單,防止交易所CPU被惡意挖礦_VSW

Author:

Time:1900/1/1 0:00:00

昨日晚間慢霧預警BigGame新上線的代付CPU功能遭受薅羊毛,被惡意利用挖EIDOS;今晨,慢霧再次發布紅色預警,攻擊者開始利用交易所/DApp的提幣功能惡意挖礦,當交易所往攻擊者的挖礦合約地址提幣時,會觸發挖礦邏輯,導致交易所提幣錢包的CPU被攻擊者利用來挖礦,直至CPU資源耗盡,影響其他正常用戶的提幣操作。慢霧在預警中建議交易所/DApp在處理EOS及EOS上Token的提幣時,檢查用戶提幣地址是否是合約賬號。由于部分交易所的EOS充幣錢包也是合約賬號,因此需要維護一個正常合約賬號的白名單,目前慢霧AML團隊已經收集了部分此類賬號,并通過API開放查詢,地址:https://aml.slowmist.com/api/eos_exchange_contract_addr如果其他交易所/DApp的EOS充幣錢包也是合約賬號但是不在這個白名單中,請將地址發送到慢霧安全團隊郵箱,我們將立即更新。

慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;

2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;

3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;

7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;

9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

聲音 | 慢霧預警:攻擊者喊話所有鏈上偽隨機數(PRNG)都可被攻擊:攻擊者 floatingsnow 向自己的子賬號 norealrandom、dolastattack 轉賬并在 memo 中喊話:hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num

從賬號名稱和 memo 可知攻擊者對目前 EOS DApp 鏈上隨機數方案了如指掌,攻擊者指出 tapos_block_prefix/tapos_block_num 均不安全,并提議 b1 新增 get_current_blockid / get_blockhash_by_id 接口。[2019/1/16]

慢霧 x IMEOS市場預警:警惕數字貨幣轉賬地址劫持攻擊,這個攻擊鏈從錢包地址的展示到復制到最終黏貼環節都可能存在。從我們歷史審計經驗及慢霧區情報反饋來看,這個攻擊在交易所或錢包轉賬過程,暗網勒索過程等都有相關真實案例發生。這個攻擊從地下黑客風向標來看,已經頗具產業鏈形態,特此預警:在轉賬確認之前一定要再三確認目標錢包地址是否正確(不要僅看首尾字符串,需要嚴格一一驗證)。[2018/4/12]

Tags:SWAPVSWEOSBLOCViking SwapVSW幣EOS Royale老版本blockchain

PEPE
11,3唯億指幣:BTC市場突破情緒不高 晚間走勢回調 逢低做多_GMX

BTC走勢分析:     4小時圖中,走勢還在布林帶的中上軌區域,但因向上突破上軌位置,想要進一步打開布林帶的局面,受到上方阻力的壓制,價格出現小幅度回落,后續走勢多頭進攻乏力.

1900/1/1 0:00:00
Gate.io直播活動預告-Dash重磅訪談_HTT

為了讓廣大用戶與Gate.io進行實時互動,獲得更多樣的交流方式,并及時有效地反饋各種不同的意見,Gate.io推出了社區直播功能.

1900/1/1 0:00:00
VCASH登陸CITEX P板交易區公告_CASH

尊敬的CITEX用戶: VCASH上線CITEXP板交易區,并開放VCASH/USDT交易對。VCASH充值:2019年10月31日17:00VCASH交易:2019年10月31日17:00VC.

1900/1/1 0:00:00
【通知】IDCM恢復FCS充提幣業務_DENT

尊敬的IDCM用戶: IDCM點心交易所將于香港時間11月6日18:00恢復FCS充提幣業務。暫停期間給您帶來的不便,敬請諒解!加密互聯網服務提供商World Mobile在Google Pla.

1900/1/1 0:00:00
Bithumb Global開啟META交易 / 2019.10.16_BIT

親愛的BithumbGlobal用戶:BithumbGlobal將在創新板上線META數字資產服務.

1900/1/1 0:00:00
關于非小號收錄BT的公告_BOR

尊敬的幣團用戶: 我們非常榮幸地告知您,BT成功被非小號收錄,您可在非小號上直接查看BT的排行、流通市值、全球指數、流通數量、漲幅及指數趨勢等內容.

1900/1/1 0:00:00
ads