安全機構慢霧科技發布TitanoFinance被黑簡析,2022年2月14日,BSC鏈上的TitanoFinance項目遭受攻擊,慢霧安全團隊分析認為:
1.在2022-02-1018:48:04(UTC),攻擊者創建了相關的攻擊合約(0x1866207c355d4c6e0b03b4dc0bf9c658f4d13f8a);
2.在2022-02-144:36:21(UTC),攻擊者調用第一步中的0x186620合約中的createMultipleWinnersFromExistingPrizeStrategy函數創建了惡意的prizeStrategy合約0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]
3.在2022-02-144:39:12(UTC),StakePrizePool合約(0x4d7f0a96967dce1e36dd2fbb131625bbd9106442)中,owner(0xc8abdb16fd6040c76dfd9b5186abfdc3b96df4b8)調用了setPrizeStrategy函數(該函數僅owner可以調用),使得_prizeStrategy被改成了0x49D078d25b08f2731cBf5AF8e8CDF1eA3E0a2046;
慢霧科技啟富:去中心化錢包安全核心在于私鑰、助記詞的存儲及加密:11月6日消息,慢霧科技合伙人啟富在做客《HyperPay焦點》欄目時提及:去中心化錢包的安全涉及到很多方面,最核心的是對私鑰、助記詞的存儲及加密。用戶在選擇錢包時盡量選擇國際知名、一流的錢包,同時注意看錢包App的代碼是否開源、代碼是否經過安全審計、團隊內是否有CSO或安全負責人,這些都可能影響到錢包不斷迭代、升級過程中的安全是否有保障。同時,作為用戶一定要從錢包的官網下載App,避免誤入釣魚網站下載到被植入了后門的錢包App。[2020/11/6 11:51:30]
4.在2022-02-144:41:51(UTC),接著攻擊者調用了所創建的惡意的prizeStrategy合約(0x49D078)中的_awardTickets函數,該函數調用了prizePool合約中(0x4d7f0a)的award函數,該函數需要滿足onlyPrizeStrategy修飾器條件(_msgSender()==address(prizeStrategy)),該函數會給指定的to地址mint指定數量的ticket代幣(TicketTitano(TickTitano);此時prizePool合約中的_prizeStrategy已經在上一步被修改成0x49D078,滿足onlyPrizeStrategy的條件,于是StakePrizePool合約給攻擊者mint了32,000,000個ticket代幣;
聲音 | 慢霧余弦:MimbleWimble并沒完全解決“交易隱私”問題:區塊鏈安全公司慢霧創始人余弦發微博稱,MimbleWimble并沒完全解決“交易隱私”問題,它讓交易在區塊鏈上不會暴露隱私,這個實現確實很漂亮,但由于它交易的特殊性,這導致相比其他匿名貨幣,基于 MimbleWimble 實現的在鏈下隱私與安全會遭遇更大挑戰。[2019/3/22]
5.在2022-02-144:43:18(UTC),StakePrizePool合約(0x4d7f0a)中,owner再次調用了setPrizeStrategy函數,將_prizeStrategy改回0x5739f9F8C9Fc9854a5B6f3667a6fB14144DC40A7;
6.最后攻擊者調用StakePrizePool合約(0x4d7f0a)中的withdrawInstantlyFrom函數將ticket代幣換成Titano代幣,然后在pancake池子中把itano換成BNB,攻擊者重復了這個過程8次,最后共獲利4,828.7BNB,約1900w美元。
據慢霧MistTrack分析,攻擊者最初的獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑資金已被攻擊者轉移到其他23個錢包。此次主要由于owner角色可以任意設置setPrizeStrategy函數,導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。對此,慢霧安全團隊建議,對于敏感的函數操作,建議采用多簽錢包的角色來操作,或者把owner角色權限移交給社區管理。
據Cointelegraph報道,由31家當地加密貨幣交易所組成的自我監管機構——日本虛擬和加密資產交易商協會(JVCEA)正準備在3月下旬發布一份包含18種被廣泛接受的加密貨幣的“綠名單”.
1900/1/1 0:00:00據CoinDesk報道,Blockstream前首席戰略官SamsonMow創立的比特幣初創公司JAN3以1億美元的估值完成2100萬美元融資.
1900/1/1 0:00:00公鏈Fantom基金會在社交媒體發文回應Andre宣布離開加密行業,其表示,感謝Andre為整個加密貨幣所做的一切,但Fantom并不是一個人的團隊,有40多人在共同工作.
1900/1/1 0:00:00北美算力最大的上市比特幣礦企CoreScientific(CORZ)周一表示,計劃在2022年年底前將哈希率提高到40EH/s-42EH/s,以鞏固其算力領先地位.
1900/1/1 0:00:00微信公眾號“元飛船”發文稱,今日突然曝出有多家數字藏品平臺公眾號被關閉,據其不完全統計,涉及的平臺有ArtMeta元藝數、一點數藏、歸藏元宇宙、畫生Meta、元本空間、神達數藏、OneMeta、.
1900/1/1 0:00:00NEAR生態NFT基礎設施Mintbase宣布獲得1250萬美元A輪融資,其中包括750萬美元的戰略輪融資和由NEAR基金會支持的500萬美元資助計劃MintbaseGrants.
1900/1/1 0:00:00