安全公司：Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查

据慢雾区消息，去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击，慢雾安全团队以简讯形式将攻击原理分享如下：

1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作，将合约Forge角色设置为攻击者指定的地址。

2.随后攻击者为了最大程度的将合约中资金取出，其调用了invest函数将合约中的资金抵押至Compound中，以取得抵押凭证cToken。

3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。

4.withdrawToForge函数被限制只有Forge角色可以调用，但Forge角色已被重复初始化为攻击者指定的地址，因此最终合约管理的资产都被转移至攻击者指定的地址。总结：本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换Forge角色，最终造成合约管理的资产被盗。

总结：本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换 Forge 角色，最终造成合约管理的资产被盗。

网络安全公司Intezer发现针对Kubernetes的漏洞，攻击者可挖掘门罗币:7月26日消息，网络安全公司Intezer发布报告称，攻击者正在利用Argo Workflows（Kubernetes最常用的执行引擎之一）的权限系统中的漏洞，在连接到互联网的机器中安装加密货币挖掘模块，这个漏洞意味着，如果与Argo Workflows配对，Kubernetese每个都可以用于挖掘门罗币。Intezer表示他们已经确定了受感染节点和其他易受此攻击的节点。 （news.bitcoin）[2021/7/26 1:16:25]

安全公司：Fastjson全版本远程代码执行漏洞曝光:据降维安全实验室报道，Fastjson <=1.2.68全版本存在反序列化漏洞，利用该漏洞，黑客可远程在服务器上执行任意代码直接获取服务器权限。此漏洞异常危险，降维安全实验室建议使用了该java库的相关交易所及企业及时将Fastjson升级至1.2.68版本、打开SafeMode、并持续关注fastjson官网等待1.2.69版本的更新并立即升级以防止被攻击。更多详细细节和缓解措施请联系降维安全实验室。[2020/5/28]

动态 | 富达等投资加密安全公司Fireblocks:据coindesk报道，Fireblocks是一个保护传输过程中的数字资产的平台，宣布从投资巨头那里获得了1600万美元的A轮融资，其中包括Cyberstart、Tenaya Capital和富达国际(Fidelity International)的专有投资部门Eight Roads。Galaxy Digital和Genesis Global Trading等几家颇具影响力的客户已经改用Fireblocks，以保护他们的数字资产在交易所、柜台经纪商、热钱包和冷库之间的传输。[2019/6/11]

相关资讯