比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 區塊鏈 > Info

慢霧余弦:警惕Solana鏈上項目釣魚網站

Author:

Block

Time:12/25/2023 5:33:47 PM

金色財經報道,慢霧創始人余弦在社交媒體上發文表示,再次提醒下,Solana最近很火,釣魚網站也多,一些人中招損失不小,一筆簽名可以幾乎轉走你目標錢包地址里的所有資產,Solana的特性就是這樣,方便得很。

其它快訊:

慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;

2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;

3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;

7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;

9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[5/8/2021 10:44:36 AM]

動態 | 慢霧安全團隊剖析EOS 合約競猜類游戲 FFgame 被攻擊事件:據慢霧安全團隊消息,針對 EOS 合約競猜類游戲 FFgame 被攻擊事件的剖析,慢霧安全團隊通過與 FIBOS 創始人響馬的交流及復測推測:攻擊者通過部署攻擊合約并且在合約中使用與 FFgame 相同算法計算隨機數,產生隨機數后立即在 inline_action 中使用隨機數攻擊合約,導致中獎結果被“預測”到,從而達到超高中獎率。該攻擊者從第一次出現盜幣就已經被慢霧監控賬戶變動,在今日凌晨(11.8 號)已經第一時間將威脅情報同步給相關交易所平臺。

慢霧安全團隊提醒類似開發者:不要引入可控或可預測隨機數種子,任何僥幸都不應該存在。[11/8/2018 12:00:00 AM]

金色財經獨家采訪 慢霧科技:此次EOS漏洞是真實存在的并且可信度非常高:今日,360表示EOS網絡存在漏洞,對此,金色財經獨家采訪了慢霧科技,慢霧科技表示:這個漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超級節點服務器的權限,360所描述的史詩級漏洞,這種表述不過分。360沒有披露漏洞細節是可以理解的,此次漏洞是在EOS網絡上發布的惡意智能合約,該智能合約可以同步到區塊鏈網絡上,每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透,打穿虛擬機到服務器,從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[5/29/2018 12:00:00 AM]

新火科技公鏈解決方案網頁端業務介紹頁上線

12月25日消息,新火科技控股有限公司(簡稱“新火科技”)SINOHOPE公鏈解決方案網頁端業務介紹頁正式上線.

Block Chain:12/25/2023 5:33:57 PM
去中心化身份協議Litentry計劃擴展到BTC生態,將集成UniSat錢包支持BRC20

12月25日消息,去中心化身份聚合協議Litentry計劃將去中心化身份擴展到BTC生態。 Litentry將通過與UniSat錢包集成,將BRC20引入到其創意產品IdentityHub.

Block Chain:12/25/2023 5:33:55 PM
AXS現報10.35美元,24小時漲幅達到27.8%

金色財經報道,據CoinGecko行情數據顯示,AXS(Axie Infinity)現報10.35美元,24小時漲幅達到27.8%,行情波動較大,請做好風險控制.

Block Chain:12/25/2023 5:33:54 PM
Wintermute 1小時前從Binance提取了40萬枚WLD

金色財經報道,據TheDataNerd監測,1小時前,Wintermute以3.45美元的均價從Binance提取了40萬枚WLD(138萬美元).

Block Chain:12/25/2023 5:33:52 PM
LilPudgys #14052已被PinkDrainer竊取

金色財經報道,據PeckShield監測顯示,LilPudgys #14052已被PinkDrainer竊取.

Block Chain:12/25/2023 5:33:51 PM
某地址花費12枚SOL買入26億ANALOS,總利潤為347萬美元

金色財經報道,據Lookonchain監測,一位交易者通過在Solana上交易ANALOS在5天內將900美元變成了347萬美元.

Block Chain:12/25/2023 5:33:49 PM
慢霧首席信息安全官:Set Labs官方X賬號被黑并發布虛假空投信息

金色財經報道,據慢霧首席信息安全官23pds在社交媒體上發文表示,Set Protocol開發團隊Set Labs官方X賬號被黑,請謹慎交互.

Block Chain:12/25/2023 5:33:45 PM
zkSync:zkSync Era目前遇到網絡問題,團隊正在解決

金色財經報道,zkSync Developers表示,zkSync Era目前遇到網絡問題。團隊正在積極應對這一情況,并致力于盡快解決問題。一旦問題得到充分解決和分析,我們將分享一份事后報告.

Block Chain:12/25/2023 5:33:44 PM
某地址20天前購買2050萬枚SILLY,當前獲利170萬美元

金色財經報道,據Scopescan監測,Solana meme幣SILLY剛剛再次突破新高,一個地址在20天前用0.7枚SOL(43美元)購買了2050萬枚(總供應量的2%)SILLY.

Block Chain:12/25/2023 5:33:42 PM
IERC-20推出ethi質押功能

12月25日消息,IERC-20于X平臺發文表示,其已推出DOPS質押功能,用戶能夠質押ethi以獲得EOA積分,用于POW挖礦.

Block Chain:12/25/2023 5:33:41 PM
LilPudgys#3259和#3235已被網絡釣魚地址竊取

金色財經報道,據PeckShield監測顯示,LilPudgys#3259和LilPudgys#3235已在Blur被網絡釣魚地址Fake_Phishing187019竊取.

Block Chain:12/25/2023 5:33:34 PM
某地址8月18日至今累計買入1088萬枚LDO

金色財經報道,據鏈上數據分析師余燼監測,一地址在8月18日市場閃崩下跌開始至今,通過Amber Group從Binance買入囤積了1088萬枚LDO (價值約2853萬美元),均價2.05美元.

Block Chain:12/25/2023 5:33:32 PM
ads