據慢霧區情報,2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。慢霧安全團隊分析如下:
1.攻擊者創建了相關的攻擊合約;
2.攻擊者調用第一步中的合約中的函數創建了惡意的prizeStrategy合約;
慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]
3.StakePrizePool合約中,owner調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成惡意的prizeStrategy合約。
聲音 | 慢霧:ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息,ETC 51%攻擊后續:繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后,另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現:攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作,至此,持續近一周的 ETC 51% 陰云已散。[2019/1/16]
4.接著攻擊者調用了所創建的惡意的prizeStrategy合約中的_awardTickets函數,該函數調用了prizePool合約中的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣。此時prizePool合約中的_prizeStrategy已經在上一步被修改,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,00萬個ticket代幣。
聲音 | 慢霧:采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破,該攻擊團伙(floatingsnow等)的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前,慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見,強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]
5.StakePrizePool合約中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7。
6.最后攻擊者調用StakePrizePool合約中的函數將ticket代幣換成Titano代幣,然后在pancake池子中把Titano換成BNB,攻擊者重復了這個過程8次,最后共獲利4828.7BNB,約190萬美元。
該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。
Tags:IZEPRITRASTRDecentralized Community Investment ProtocolPRIMATETRAVAMSTR幣
自從Facebook更名為Meta后,關于元宇宙的討論愈發激烈,這一詞匯也越來越多的出現在我們的視野里。這是一個非常有趣的話題.
1900/1/1 0:00:00據BeinCrypto2月20日消息,一個名為BuyTheBroncosDAO的去中心化組織正在尋求籌集超過40億美元來收購美國國家橄欖球聯盟丹佛野馬隊.
1900/1/1 0:00:00據《華夏時報》消息,針對近期發布的虛擬貨幣“挖礦”用電實行差別電價政策,浙江政務服務中心2月22日向記者表示,經杭州市上城區發展改革和經濟信息化局核實,虛擬貨幣“挖礦”活動仍是不允許的.
1900/1/1 0:00:00本文來自?Decrypt,原文作者:ScottChipolinaOdaily星球日報譯者?|念銀思唐區塊鏈分析平臺Chainalysis在新興NFT市場發現了清洗交易和洗錢活動的“重要”證據.
1900/1/1 0:00:00比推消息,據CNBC報道,谷歌云正在招聘一個區塊鏈專家團隊,以利用向去中心化Web3應用程序過渡的機會。谷歌云將圍繞區塊鏈應用開展業務,在零售、醫療保健和其他行業大展拳腳.
1900/1/1 0:00:00來源:網信中國公眾號 2022年1月30日消息,為深入開展區塊鏈創新應用工作,中央網信辦秘書局、中央宣傳部辦公廳、最高人民法院辦公廳、最高人民檢察院辦公廳、教育部辦公廳、工業和信息化部辦公廳、民.
1900/1/1 0:00:00