慢霧預警：ADX合約設計疑似存在“后門”風險_ACK

安全公司慢霧發布安全預警稱，ADX合約設計疑似存在“后門”風險。具體細節為：在合約中grantVestedTokens方法寫了轉賬是否可以允許被revoke，可以在grants這個mapping中或者tokenGrant中查到用戶生成的這個TokenGrant到底允不允許revoke,如果是允許revoke則要慎重，用戶可以通過revokeTokenGrant撤回，這樣holder就會受到損失，代幣可能會回到原本用戶的余額上或者轉到0xdead,這取決于burnsOnRevoke的值。ADX項目業務設計比較特殊，如果在對接交易所的話，沒有說明對接的方式，以及一些特殊方法的調用和判斷，會造成交易所損失，請交易所注意對接時候相關細節處理。

慢霧：Transit Swap事件中轉移到Tornado Cash的資金超過600萬美元:金色財經報道，慢霧 MistTrack 對 Transit Swap 事件資金轉移進行跟進分析，以下將分析結論同步社區：

Hacker#1 攻擊黑客（盜取最大資金黑客），獲利金額：約 2410 萬美元

1: 0x75F2...FFD46

2: 0xfa71...90fb

已歸還超 1890 萬美元的被盜資金；12,500 BNB 存款到 Tornado Cash；約 1400 萬 MOONEY 代幣和 67,709 DAI 代幣轉入 ShibaSwap: BONE Token 合約地址。

Hacker#2 套利機器人-1，獲利金額：1,166,882.07 BUSD

0xcfb0...7ac7(BSC)

保留在獲利地址中，未進一步轉移。

Hacker#3 攻擊模仿者-1，獲利金額：356,690.71 USDT

0x87be...3c4c(BSC)

Hacker#4 套利機器人-2，獲利金額：246,757.31 USDT

0x0000...4922(BSC)

已全部追回。

Hacker#5 套利機器人-3，獲利金額：584,801.17 USDC

0xcc3d...ae7d(BSC)

USDC 全部轉移至新地址 0x8960...8525，后無進一步轉移。

Hacker#6 攻擊模仿者-2，獲利金額：2,348,967.9 USDT

0x6e60...c5ea(BSC)

Hacker#7 套利機器人-4，獲利金額：5,974.52 UNI、1,667.36 MANA

0x6C6B...364e(ETH)

通過 Uniswap 兌換為 30.17 ETH，其中 0.71 支付給 Flashbots，剩余 ETH 未進一步轉移。[2022/10/6 18:41:10]

動態 | 慢霧發布針對 EOS 交易 hard_fail 狀態的新型攻擊說明:據 IMEOS 報道，慢霧發文解析了 hard_fail 狀態攻擊，根據其的情報捕獲與分析，慢霧意識到針對 EOS hard_faild 狀態的新型攻擊手法可能會造成更大范圍的影響，本次手法成因為項目方未對交易狀態進行嚴格且完備的檢驗導致攻擊發生，屬于“假充值”攻擊類型的一種。在此，慢霧安全團隊建議交易所和錢包要對發送給自己的轉賬交易在不可逆的區塊前提下檢測以下幾點：1. 判斷 status 是否為 executed2. 判斷 action 是否為 transfer3. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約4. 判斷代幣名稱及精度5. 判斷金額6. 判斷 to 是否是自己平臺的充幣賬號補充說明：本次攻擊可繞過節點 read-only 模式，開啟 read-only 模式仍然會受到攻擊。因為交易的狀態為：未執行->已經執行但執行失敗，并不是回滾所以即使開啟了 read-only 模式，依然會受到攻擊。[2019/3/12]

聲音 | 慢霧科技余弦：所有數字貨幣項目方應完整review所有第三方模塊:據IMEOS報道，慢霧科技余弦提醒所有數字貨幣相關項目（如交易所、錢包、DApp 等）都應該強制至少一名核心技術完整 review 一遍所有第三方模塊，看看是否存在可疑代碼，也可以抓包看看是否存在可疑請求。供應鏈攻擊不計代價，數字貨幣依然炙手可熱。

比如最新發現的： Hacker backdoors popular JavaScript library to steal Bitcoin funds 。[2018/11/27]

Tags：ACKRANHACTOKEETHBACK幣Kranz TokenHACHIKOVTube Token

幣贏