金色财经报道,据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Socket协议遭受攻击者call注入攻击,导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。
该函数功能是调用者可以将WETH兑换为ETH,并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH,否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数,但是项目方未考虑到调用者转入的WETH数量为0的情况,导致调用者可以在call中去调用其他指定函数,并且能通过余额检查。
攻击者通过构造calldata,调用任意代币的transferfrom,将其他用户授权给该合约的代币转移到攻击者地址。目前攻击者将被盗资金兑换为ETH,并保存在攻击者地址上,Beosin将对资金进行持续监控。
其它快讯:
Beosin:ETH链上COPE代币项目存在后门:金色财经报道,区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,ETH链上COPE 代币项目存在后门,特权地址可以调用伪造的Approve销毁任意地址的余额。提醒用户注意资金安全。[2023/7/21 15:50:29]
Beosin:Arcadia Finance项目遭受攻击,黑客获利约45万美元:金色财经报道,7月10日,Beosin EagleEye监测显示,链上保证金协议Arcadia Finance项目遭受黑客攻击,黑客获利约45万美元。[2023/7/10 10:45:30]
Beosin:BNBChain上DPC代币合约遭受黑客攻击事件分析:据Beosin EagleEye平台监测显示,DPC代币合约遭受黑客攻击,损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备,然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币,再抵押LP代币在代币合约中。前面的准备,是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”,导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop 函数提取出奖励(DPC代币),换成Udst离场。目前被盗资金还存放在攻击者地址,Beosin安全团队将持续跟踪。[2022/9/10 13:21:00]
金色财经报道,据The Data Nerd监测,某鲸鱼于1小时前通过DeFi聚合平台Instadapp借出10,247枚ETH(价值约合2653万美元),并将其质押到Mantle。该地址还在EigenLayer质押了...
区块链:2024/1/17 8:08:05金色财经报道,1月15日的一份法庭文件显示,SBF父母Joseph Bankman和Barbara Fried的代表律师认为,FTX的诉讼只是利用他们是SBF的父母这一事实,并认为大部分索赔都是基于他们与儿子的关系,...
区块链:2024/1/17 8:07:56金色财经报道,1inch发布2023年度回顾报告,其中显示Swap交易总量增长了62%,达到超3300万笔,2023年内Swap交易量增加了70%,达到650万笔,用户群增长了30%,达到110万。 截至目...
区块链:2024/1/17 8:07:49金色财经报道,Optimism在社交媒体上称,明天将有约1200万枚OP在Optimism基金会控制的钱包之间转移。这些转移将委托投票权,而不是新的赠款或分配。 其它快讯: 美国大选结果将于明天下午出...
区块链:2024/1/17 8:07:38金色财经报道,BAYC开发商Yuga Labs与游戏工作室Faraway合作,将于2024年第一季度推出Dookey Dash Unclogginged游戏,这是Dookey Dash游戏的免费版本,所有用户均可参与...
区块链:2024/1/17 8:07:30金色财经报道,韩国金融监督院虚拟资产监管局局长李贤德(音译)在第5届区块链领袖俱乐部上表示,2024年是虚拟资产制度化的新一年,由于《虚拟资产用户保护法》将于7月实施,金融监管局正在为其实施准备监管框架,并努力稳定监...
区块链:2024/1/17 8:07:26金色财经报道,据PeckShield监测,FTX/Alameda标记地址已将4400枚XAUT(890万美元)转移到Coinbase,将1000枚ETH(260万美元)转移到Wintermute 其它快讯: ...
区块链:2024/1/17 8:07:21金色财经报道,Core Scientific表示,美国德克萨斯州南区破产法院已批准了公司的破产法第11章重组计划,破产法院批准该计划为Core Scientific于2024年1月底在纳斯达克重新上市扫清了道路。 ...
区块链:2024/1/17 8:07:15金色财经报道,CertiK在X平台表示,一名用户在BSC上从币安平台收到了11.22ETH(约2.8万美元),这些资金立即被Atlantis攻击者窃取,受害者在收到ETH之前未撤销受攻击合约。 其它快讯: ...
区块链:2024/1/17 8:07:12金色财经报道,Solana Mobile官方在X平台上表示,将开始Chapter 2的预售,预售押金为450美元,该团队表示,目标是押金涵盖全价(不含税、运费和费用)。同时,Chapter 2的发售将会包括推荐(Re...
区块链:2024/1/17 8:07:08金色财经报道,Cyver监测数据显示,其AI系统检测到互操作性协议Socket的Gateway合约上的恶意交易,230名用户受到影响,总计损失330万美元,主要是USDC、USDT、WBTC DAI和WETH,攻击者...
区块链:2024/1/17 8:07:04金色财经报道,互操作性协议Socket在X平台就安全漏洞事件发文称,协议经历了一次安全事件,受影响的钱包对Socket合约有无上限的批准,已发现该问题并已暂停受影响的合同。团队正在处理这一情况,稍后将通报最新情况和后...
区块链:2024/1/17 8:07:00
火星链