BTC/HKD-1.13%
ETH/HKD-0.37%
LTC/HKD-1.01%
ADA/HKD-0.3%
SOL/HKD-1.39%
XRP/HKD-1.22%金色財經報道,據慢霧區消息,OKX DEX合約疑似出現問題,慢霧分析后發現:用戶進行兌換時會授權給TokenApprove合約,DEX合約通過調用TokenApprove合約轉移用戶代幣。DEX合約存在claimTokens函數,允許可信的DEX Proxy進行調用,其功能是調用TokenApprove合約的claimTokens函數轉移已授權用戶的代幣。可信的DEX Proxy由Proxy Admin進行管理,Proxy Admin Owner可以通過Proxy Admin升級DEX Proxy合約。
Proxy Admin Owner在2023-12-12 22:23:47通過Proxy Admin升級了DEX Proxy合約到新的實現合約,新的實現合約功能是直接調用DEX合約的claimTokens函數轉移代幣。隨后攻擊者開始調用DEX Proxy竊取代幣。Proxy Admin Owner在2023-12-12 23:53:59再次升級了合約,實現功能與先前類似,升級后繼續竊取代幣。截止現在獲利約43萬U。
該攻擊或為Proxy Admin Owner私鑰泄漏,目前DEX Proxy已被移出受信列表。
其它快訊:
慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。
2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。
3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB
4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。
5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。
6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。
7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。
此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[6/8/2022 11:32:49 AM]
慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。
如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:
1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。
2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。
3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。
4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。
5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2/9/2022 12:05:12 AM]
慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[4/5/2021 10:01:55 AM]
金色財經報道,韓國加密交易所Bithumb發布公告稱,由于Cosmos(ATOM)硬分叉,Cosmos(ATOM)充值和提現服務將暫停.
Block Chain:12/13/2023 1:41:48 PM12月13日消息,據推特用戶@eno_eth披露,社區成員@axe_ping聲稱錢包資金被盜,大量資金轉入0x1f14開頭的黑客地址,所有被盜錢包均授權給OKX DEX,1小時前OKX移除了被黑客攻擊的代理地址。目前...
Block Chain:12/13/2023 1:41:47 PM金色財經報道,區塊鏈數據分析公司Bitrace發文表示,隨著SATS的價格上漲,注意到有釣魚人士惡意利用訂單排序規則,以百倍于當前地板價格的單價上架了若干SATS,并成功得手多筆.
Block Chain:12/13/2023 1:41:46 PM12月13日消息,據官方消息,波場TRON創始人孫宇晨線上參與了臺北區塊先生活動并就波場TRON的最新動態進行了分享.
Block Chain:12/13/2023 1:41:45 PM金色財經報道,Binance、Binance.US 和CZ在周二提交的一份新文件中辯稱,美國證券交易委員會在對這兩家公司及其創始人提起的訴訟中沒有滿足\"豪威測試\"的要求.
Block Chain:12/13/2023 1:41:43 PM金色財經報道,薩爾瓦多國家比特幣辦公室(ONBTC)表示,自12月7日啟動以來,其價值100萬美元的自由簽證計劃已收到數百份詢問,預計將在今年年底前全部售罄.
Block Chain:12/13/2023 1:41:42 PM金色財經報道,DeFi和游戲的加密初創公司Spielworks完成戰略融資,瑞士非營利組織The Hashgraph Association(THA)參投,具體融資金額暫未披露.
Block Chain:12/13/2023 1:41:39 PM7:00-12:00關鍵詞:Coinbase、慢霧、CFTC、金管局 1.Line Next宣布獲得1.4億美元融資; 2.Coinbase將BONK添加至上幣路線圖; 3.OKX DEX疑似被黑客攻擊.
Block Chain:12/13/2023 1:41:38 PM金色財經報道,區塊鏈數據分析公司Bitrace發文表示,目前黑客已經非法獲取多達19種超過價值43萬美元的ERC20代幣,包括USDT、USDC、WETH等.
Block Chain:12/13/2023 1:41:37 PM金色財經報道,據Whale Alert監測,北京時間12:02,658枚BTC(26,893,152美元)從未知錢包轉移到Binance.
Block Chain:12/13/2023 1:41:36 PM12月13日消息,據JieData監測,某聰明錢地址在低點買入高點賣出部分TRB后,盈利約4,666,088美元,當前該地址仍持有約29,999枚TRB.
Block Chain:12/13/2023 1:41:34 PM金色財經報道,有報道稱,《蜘蛛俠2》開發商Insomniac Games已成為黑客事件的受害者,黑客組織Rhysida索要50比特幣(約合200萬美元)的贖金.
Block Chain:12/13/2023 1:41:33 PM