慢雾安全团队发布了BonqDAO项目攻击事件简析,此次攻击的根本原因在于攻击者利用预言机报价所需抵押物的成本远低于攻击获得利润从而通过恶意提交错误的价格操控市场并清算其他用户。攻击者获得了大量的WALBT和BEUR代币。截止目前,94.6万ALBT已被兑换为695ETH,55.8万BEUR已被兑换为53.4万DAI。黑客仍在持续兑换ALBT为ETH,暂未发现资金转移到交易所等平台。
慢雾首席信息安全官:SIM交换攻击将在未来成为麻烦:7月17日消息,慢雾首席信息安全官23pds称,基于SIM交换的黑客攻击目前还不太普遍,但在不久的将来有进一步上升的巨大潜力。他表示,随着Web3的普及并吸引更多人进入该行业,由于其技术要求相对较低,SIM交换攻击的可能性也随之增加。他同时提到了过去几年涉及加密货币中SIM交换黑客的一些案例,如2021年10月,由于2FA漏洞,黑客从至少6,000名客户那里窃取了加密货币。
SIM交换黑客是身份盗窃的一种形式,攻击者接管受害者的电话号码,使他们能够访问银行账户、信用卡或加密账户。[2023/7/17 10:59:52]
具体分析如下:1.BonqDAO平台采用的预言机来源是TellorFlex自喂价与Chainlink价格的比值,TellorFlex价格更新的一个主要限制是需要价格报告者先抵押10个TRB才可以进行价格提交更新。而在TellorFlex中可以通过updateStakeAmount函数根据抵押物的价格进行周期性的更新价格报告者所需抵押的TRB数量。2.由于TellorFlex预言机合约的TRB抵押数额一开始就被设置成10个,且之后没有通过updateStakeAmount函数进行更新,导致攻击者只需要抵押10个TRB后就能成为价格报告者并通过调用submitValue函数修改预言机中WALBT代币的价格。3.攻击者对价格进行修改后调用了Bonq合约的createTrove函数为攻击合约创建了trove,该trove合约的功能主要是记录用户抵押物状态、负债状态、从市场上借款、清算等。4.紧跟着攻击者在协议里进行抵押操作,接着调用borrow函数进行借款,由于WALBT代币的价格被修改而拉高,导致协议给攻击者铸造了大量BEUR代币。5.在另一笔攻击交易中,攻击者利用上述方法修改了WALBT的价格,然后清算了市场上其他存在负债的用户以此获得大量的WALBT代币。6.根据慢雾MistTrack分析,1.13亿WALBT已在Polygon链burn并从ETH链提款ALBT,后部分ALBT通过0x兑换为ETH;部分BEUR已被攻击者通过Uniswap兑换为USDC后通过Multichain跨链到ETH链并兑换为DAI。
动态 | 慢雾 TradingView 0day 漏洞预警:据 Joinsec 情报及慢雾安全团队的深入分析,通用 K 线展示 JS 库 TradingView 再次发现两个 0day 漏洞,可绕过 Cloudflare 及浏览器 CSP 防御机制,并且不会在 Web 服务上留下日志。第一个 0day 漏洞如果被利用成功会导致用户帐号权限被盗、交易恶意操作等,从而造成资产损失;第二个 0day 漏洞可以实施钓鱼攻击盗取用户账号密码,也可在特殊场景下绕过目标 Web 服务的 CSRF 防御。TradingView 在数字货币交易等平台被非常广泛地应用,属于商业软件,版本分布未知。鉴于历史披露及新发现的 0day 漏洞相关场景来看,我们强烈建议使用 TradingView 的项目方保持警惕,注意用户的异常反馈。细节我们会在合适时机下披露。[2019/3/1]
此前今日早些时候消息,BonqDAO和AllianceBlock在攻击事件中损失8800万美元。
声音 | 慢雾预警:攻击者喊话所有链上伪随机数(PRNG)都可被攻击:攻击者 floatingsnow 向自己的子账号 norealrandom、dolastattack 转账并在 memo 中喊话:hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num
从账号名称和 memo 可知攻击者对目前 EOS DApp 链上随机数方案了如指掌,攻击者指出 tapos_block_prefix/tapos_block_num 均不安全,并提议 b1 新增 get_current_blockid / get_blockhash_by_id 接口。[2019/1/16]
据官方推特,Camelot表示决定取消在Launchpad上启动OnChainTrade,并对“CamelotLaunchpad存在炒作问题”的指控作出了回应.
1900/1/1 0:00:00据CoinDesk报道,支付公司Block公布的财报数据显示,第四季度CashApp的比特币销售收入为18.3亿美元,同比下降7%,但高于第三季度报告的17.6亿美元.
1900/1/1 0:00:00据彭博社报道,加密交易所币安表示,在竞争对手FTX倒闭后被要求提高透明度的呼声中,公司对其资产和负债的全面审计还有一段路要走.
1900/1/1 0:00:00加密友好银行SignatureBank周四发布2023年第一季度中期财务更新。由于监管和市场因素该银行限制了其加密货币存款敞口,加密货币客户相关存款持续下降,即期存款余额减少了约8.26亿美元.
1900/1/1 0:00:00据链上分析师@0xsurferboy在社交媒体上发布的链上数据显示,DeBank中名为a16z的地址在过去24小时内一直在向SolidLizard和SolidlyV2两个协议注入资金.
1900/1/1 0:00:00据Newsis报道,韩国首尔中央地方法院在一审中对该国QRC银行首席执行官高某以欺诈等罪名判处10年有期徒刑,与高某一起被起诉的QRC银行两名合作者分别被判处有期徒刑5年和有期徒刑3年.
1900/1/1 0:00:00
火星链