攻击者正在加密空间中执行一种罕见的攻击类型。据悉,攻击者向至少76,000个以太坊地址空投UniH代币。目的是让接收者看到这些免费代币并尝试在去中心化交易所出售它们。但是这些代币带有恶意合约,一旦收币人出售了他们新收到的UniH代币(甚至只是批准出售),那么犯罪者将可以窃取他们钱包中拥有的任何Thorchain (RUNE)代币。迄今为止,该攻击已窃取了76,000美元的代币,而且仅仅持续了几个小时。(The Block)
DAO Maker的Vesting合约遭到黑客攻击,攻击者最终获利近400万美金:据慢雾区情报,DAO Maker的Vesting合约遭到黑客攻击。DeRace Token (DERC),Coinspaid (CPD),Capsule Coin (CAPS),Showcase Token (SHO)都使用了Dao Maker的分发系统,在DAO Maker中进行持有者发行(SHO)时因DAO Maker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。
黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:
对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:
1. Vesting合约中的init函数 (函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。
2. Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。
利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)。[2021/9/4 22:59:35]
Poly Network攻击者:很少看到专业安全团队报告已上线合约的关键漏洞:Poly Network攻击者再次留下链上信息,主要内容如下:
1.FBI没有试图联系我。我很高兴他们和其他安全团队可能会从这场“游戏”中受益。对研究人员来说,甚至攻击本身就是“一种享受”。
2.对我来说,观看顶级安全团队的应急反应很有趣(当然只在区块链行业中)。
注:以下时间线可能是错误的:
3.一开始,大多数专家都在谈论内幕阴谋的单个Keeper。根据我所看到的,@kelvinfichter是第一个指出ETH合约中最关键但也最明显错误的人。慢雾团队宣布了关于资金踪迹的好消息。但他们不觉得这太明显了吗?无论如何,他们让社区冷静下来了。这是一个意想不到的副作用,但非常重要。后来,他们似乎忙于处理来自媒体和社区的询问。我很高兴他们在帮助我完成指导或教育部分的事情。宛如黑暗骑士找到了他的哈维·登特(DC反派双面人)!谢谢慢雾团队。其他安全团队似乎没有慢雾那么活跃,但他们为解释这次攻击的更多细节做出了贡献。我认为Certik是第一个发布关于本体调用缺失的团队。派盾还提到了启动交易和特殊签署人。强啊!
4.安全是一项艰巨的工作,无论是在传统世界还是加密世界。大多数情况下,安全专家只是在事后作为法医被传唤,写写“验尸报告”,有时会追踪作恶者。也有一些项目不是非常迫切地寻回资金,因为这不是他们的钱,他们会告诉真正的受害者:“抱歉,我们尝试了,但无法保证极端的安全”。
另一个有趣的事实是,很少看到任何专业的安全团队报告已上线合约的关键漏洞。当然,他们总能在这些项目“死后”告诉你死因。为什么你没有看到安全团队发现了数百万美元乃至数十亿美元漏洞的案例?因为没付钱?我想大多数安全团队都比我有钱,有些团队可能比我更有能力,你相信他们从来没有遇到过类似的诱惑吗?还是其中的一些人向邪恶屈服了?这让人想起了电影《网络谜踪》。这只是我的阴谋论,这就是我不相信任何人的原因,但你可以永远相信我。[2021/8/14 1:54:59]
慢雾:Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到,Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX,并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外,Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]
金色财经行情显示,算法稳定币今日平均涨幅为0.88%。8个币种中5个上涨,3个下跌,其中领涨币种为:ONS(+26.69%)、BAC(+11.87%)、BAGS(+10.52%)。领跌币种为:AMPL(-27.84%...
区块链:2021/7/27 1:18:397月27日,Facebook宣布将成立由Instagram副总裁VishalShah领导的元宇宙产品组,其他高管包括Facebook Gaming副总裁Vivek Sharma以及FacebookGaming主管Ja...
区块链:2021/7/27 1:18:42官方消息,隐私币Monero(XMR)官方表示,在Monero的诱饵选择(decoy selection)算法中发现了一个相当重要的错误,它可能会影响交易的隐私。如果用户在共识规则允许的前2个区块(收到资金后约20分...
区块链:2021/7/27 1:17:51Avalanche生态流动性市场协议BENQI宣布与链上风险模拟平台Gauntlet达成合作。Gauntlet将为BENQI提供动态风险管理,以减轻破产风险、自动化风险相关参数、校准激励机制并提高资本效率。Gaunt...
区块链:2021/7/28 1:20:30上周五,该去中心化交易所在解释削减时提到了 \"不断变化的监管环境\"。这一消息是对在交易所层面上受到监管的代币的审查加强之后出现的,特别是美国证券交易委员会和商品期货交易委员会。 Uniswap公布的名单包括129...
区块链:2021/7/24 1:13:01巴西开展OperationExchange行动,对帮助犯罪分子的当地加密交易所展开调查,共查得17家涉嫌使用比特币的加密交易所,缴获了1.72亿巴西雷亚尔(约3300万美元)。此前报道,7月上旬巴西金融管...
区块链:2021/7/25 1:14:39据官方消息,2021年7月28日ZCON 首席运营官Jason Kim做客XT直播间,与XT AMA专栏主持人Joyce在XT官方英文群以及中文群内进行了在线AMA活动。 在谈及ZCON的发展计划时Jaso...
区块链:2021/7/28 1:20:31金色财经消息,A股开盘,上证指数报3538.01点,开盘下跌0.35%,深证成指报14982.9点,开盘下跌0.3%,深证区块链50指数报3695.55点,开盘下跌0.27%。区块链板块开盘下跌0.31%,数字货币板...
区块链:2021/7/26 1:15:35金色财经行情显示,DeFi 概念板块今日平均跌幅为1.96%。47个币种中21个上涨,26个下跌,其中领涨币种为:SNX(+9.66%)、PEARL(+8.16%)、ANT(+7.28%)。领跌币种为:AMPL(-3...
区块链:2021/7/27 1:17:34根据TRONSCAN最新数据显示,波场TRON账户总数达到49,026,830,突破4900万。波场TRON各项数据稳中前进,波场生态逐渐强大的同时,也将迎来更多交易量。 波场TRON账户总数突破1.1亿:据...
区块链:2021/7/26 1:15:42火币全球站数据显示,BTC短线上涨,突破35000美元关口,现报35000.03美元,日内涨幅达到2.41%,行情波动较大,请做好风险控制。 BTC在1小时内涨幅超过1.00%:据火币全球站数据显示,BTC/...
区块链:2021/7/26 1:15:16DeFi衍生品协议Vega宣布将于9月发布第一版协议软件,独立验证节点将能够运行首个Vega网络,开启受限主网的阶段,也是三个启动阶段中的第二步。在该阶段中,公共的Vega链将上线,可以进行质押和治理。在受限主网的阶...
区块链:2021/7/28 1:20:32
火星链