月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 火币下载 > 正文

EOS:慢雾简析 DAO Maker 被黑:攻击者最终获利近 400 万美元_SEC

作者:

时间:1900/1/1 0:00:00

链闻消息,据慢雾区情报,DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken、Coinspaid、CapsuleCoin、ShowcaseToken都使用了DaoMaker的分发系统,在DAOMaker中进行持有者发行时因DAOMaker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美元。黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:1.Vesting合约中的init函数(函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。2.Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。

慢雾AML与Go+ Security将针对恶意地址库数据方面进行合作:金色财经消息,近日,慢雾AML与Go+ Security达成合作,双方将针对恶意地址库数据方面进行合作。

根据合作协议,慢雾将向Go+ Security提供AML恶意地址库中 EVM 代币的恶意地址数据(主要在 ETH 和 BNB 网络上),Go+ Security的恶意地址数据也会同步到慢雾的地址库中。同时,若是恶意地址数据来自慢雾,Go+ Security 会在接口响应中体现数据来源。

Go+ Security作为Web3的“安全数据层”,通过提供开放、无需许可、用户驱动的安全服务,努力打造“每个人的安全工具”。Go+ Security安全引擎覆盖多条主链,针对加密项目和普通用户进行多维度风险检测,打造更安全的加密生态。[2022/6/8 4:11:22]

慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。

本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。

一)xBNTa 合约攻击分析

1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。

2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的

3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。

二)xSNXa 合约攻击分析

1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。

2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取

3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。

总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。[2021/5/13 21:57:48]

金色独家 慢雾安全团队:有至少6种途径导致 EOS 私钥被盗:针对 EOS 私钥被盗事件,金色财经特邀请慢雾安全团队对此事进行解读,慢雾安全团队表示:EOS 投票关键期频发私钥被盗问题,慢雾安全团队综合 Joinsec Red Team 攻防经验及地下黑客威胁情报分析,可能的被盗途径有:

1、使用了不安全的映射工具,映射使用的公私钥是工具开发者(攻击者)控制的,当 EOS 主网上线后,攻击者随即 updateauth 更新公私钥;

2、映射工具在网络传输时没有使用 SSL 加密,攻击者通过中间人的方式替换了映射使用的公私钥;

3、使用了不安全的 EOS 超级节点投票工具,工具开发者(攻击者)窃取了 EOS 私钥;

4、在不安全的 EOS “主网”、钱包上导入了私钥,攻击者窃取了 EOS 私钥;

5、用户存储私钥的媒介不安全,例如邮箱、备忘录等,可能存在弱口令被攻击者登录窃取到私钥;

6、在手机、电脑上复制私钥时,被恶意软件窃取。

同时,慢雾安全团队提醒用户自查资产,可使用公钥(EOS开头的字符串)在 https://eosflare.io/ 查询关联的账号是否无误,余额是否准确。如果发现异常并确认是被盗了,可参考 EOS 佳能社区 Bean 整理的文档进行操作 https://bihu.com/article/654254[2018/6/14]

标签:EOSSECSNXESTEOS AuctionSecretASNXNESTA币

火币下载热门资讯
FEX:关于开启AGLD提币的公告_libra币现在的价格

尊敬的用户:WBF已开启AGLD的提币,给您带来的不便,敬请谅解。扫码加入WBF官方QQ群WBF风险提示:用户在进行充币前,建议仔细阅读该币充提页面的提示,以避免因为小于最小上账金额而无法上账.

1900/1/1 0:00:00
区块链:区块链资本风起云涌 Mixed Elements为何更胜一筹_区块链dapp游戏

2021年,全球区块链产业投融资市场不断反弹,仅上半年的投融资数量就已经超过2020年全年。区块链投资行业多条赛道成为投资的热点,DeFi增长势头继续保持,锁仓价值从年初的171亿美元增长至76.

1900/1/1 0:00:00
数字资产:关于AIB爱的奇迹保值活动第十四期的结算公告_tps币行情

尊敬的用户:AIB爱的奇迹保值活动第十四期所募集的3592.43USDT在锁仓币账户中随机抽取UID:76****72发放,且该账户锁仓的42716.17枚AIB已转回至26亿未流通账户中.

1900/1/1 0:00:00
GATE:Gate.io已上线 Polymath Network(POLY) 永续合约交易(USDT结算)_gate.io官网下载

Gate.io已上线POLY/USDT永续合约实盘交易,支持1-20倍做多和做空操作,杠杆率可以在下单时自行选择.

1900/1/1 0:00:00
CLE:CYA-90天定期理财_https://etherscan.io

尊敬的用户:WBF将于新加坡时间2021年9月3日12:00上线CYA-90天定期理财,详情如下:活动说明:1.本次活动APP端认购;2.认购后可在“理财”-“理财记录”中查看详情;3.额度有限.

1900/1/1 0:00:00
EOS:关于DTTM延迟上线的公告_HTT价格

尊敬的用户:应项目方要求,DTTM将延迟上线,目前已关闭充提,为您带来不便,敬请谅解。具体上线时间如下:充值时间:2021/9/1310:00提币时间:2021/9/1311:00交易时间:20.

1900/1/1 0:00:00