【Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞】

【Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞】 Fireblocks研究团队最近在智能合约钱包UniPass中发现了一个ERC-4337帐户抽象漏洞。该漏洞允许攻击者对UniPass钱包进行完全帐户接管,通过替换钱包的可信入口点来激活帐户抽象模块。一旦帐户接管完成,攻击者就可以将钱包视为自己的钱包并耗尽其中的所有资金。钱包中激活了ERC-4337模块的数百名用户很容易受到这种攻击,区块链上的任何人都可以执行这种攻击。 该漏洞由3个不同的问题组成,这些问题无法单独利用,但组合起来后,可被利用以获得对钱包的所有者级访问权限。 1. 第一个问题是validateSignature 函数对于空签名返回“success=true”: 2. 第二个问题与计算调用合约本身的特权函数需要多少角色权重有关。 3. 第三个问题实际上并不是智能合约代码的问题;这是模块安装时的问题。当使用钱包的接口启用ERC-4337模块时,链上会调用addHook 4次来添加其功能。 在确认收到初始披露后的24小时内,UniPass团队立即成功执行了白帽操作,修补了所有易受攻击的钱包,并添加了缺失的“addPermission”调用,以便将来启用ERC-4337模块。 快讯/广告 联系 @xingkong888885

相关推荐

封面图片

【以太坊账户抽象提案 ERC-4337 核心合约已通过审计,将在 EVM 兼容网络上提供】

【以太坊账户抽象提案 ERC-4337 核心合约已通过审计,将在 EVM 兼容网络上提供】 据Cointelegraph报道,以太坊账户抽象提案EIP-4337共同作者yoav.eth宣布,新的以太坊账户抽象提案ERC-4337的核心合约已经通过了OpenZeppelin的审计,并将在每个以太坊虚拟机(EVM)兼容网络上提供,包括Polygon、Optimism、Arbitrum、BNBChain、Avalanche和GnosisChain。账户抽象(AccountAbstraction)旨在通过省略以太坊账户体系中不必要细节,来减少复杂性并提高有效性,消除对EOA的需求和对智能合约钱包的特殊处理,它还允许使用双重身份验证、使用指纹或面部扫描在手机上签署交易、设置账户的每月支出限额等等。
封面图片

【多链 DeFi 管理协议 Instadapp 推出智能合约钱包 Avocado】

【多链 DeFi 管理协议 Instadapp 推出智能合约钱包 Avocado】 多链DeFi管理协议Instadapp 推出智能合约钱包Avocado,支持多网络交易,所有网络的Gas以USDC形式支持,无需管理多个本地Gas代币。同时用户可利用内置帐户抽象来创建只有自己可以控制的确定性智能合约,Avocado额外收取20%的Gas费,其中10%给DApp集成商。
封面图片

【Audius:合约中允许重复调用的漏洞导致此次攻击,已部署修复程序并将重新上线】

【Audius:合约中允许重复调用的漏洞导致此次攻击,已部署修复程序并将重新上线】 7月25日消息,去中心化音乐平台Audius发布攻击事件回顾报告,称是由于合约初始化代码中存在允许重复调用“initialize”函数的漏洞,所以导致已审计的合约遭到攻击。该漏洞允许攻击者修改投票系统并在网络中设置错误的权益值,从而导致Audius社区金库持有的1800万枚AUDIO代币被恶意转移到攻击者的钱包中。但剩余资金都是安全的,并且已部署修复程序,除了质押和委托功能外所有剩余的智能合约组件都已更新并重新运行,审核更新后希望在接下来的几天内全部重新上线。 此前报道,Audius社区金库被利用,损失1850万枚AUDIO代币。
封面图片

【Beosin:SEAMAN合约遭受漏洞攻击简析】

【Beosin:SEAMAN合约遭受漏洞攻击简析】 根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。 攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。
封面图片

【dYdX出现新部署智能合约漏洞,暂未造成财产损失】

【dYdX出现新部署智能合约漏洞,暂未造成财产损失】 dYdX官方表示,UTC时间11月27日5时21分团队收到了一个关于新部署的智能合约漏洞的安全问题警告。官方表示,没有资金损失,所有资金都很安全。dYdX同时提醒,在11月24日后授权平台存款权限的用户应立即将资金收回至trade.dydx.exchange上的钱包中。白帽黑客samczsun已经和dYdX团队合作,挽救了可能受影响的资金。作为白帽回收的一部分,所有受影响的资金,甚至包括那些没有存入dYdX的资金,都已转移到托管智能合约中。目前仅能通过用户的钱包才能收回这些资金(随时可以收回)。
封面图片

【DefiLlama创始人:Foundation存在合约漏洞】

【DefiLlama创始人:Foundation存在合约漏洞】 6月21日消息,DefiLlama创始人0xngmi发推表示,NFT市场Foundation的NFT合约有一个漏洞,可以让基金会团队销毁几乎所有在其平台上铸造的NFT。Foundation的集合合约使用转发代理模式来节省部署的Gas,这意味着所有集合调用一个单一的合约来使用它的代码不是问题,并且基金会的集合有一个功能,允许创建者在没有NFT的情况下销毁它,目前基金会团队的合约所有权由6个中的2个多重签名持有。 快讯/广告 联系 @xingkong888885

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人