【Audius:合约中允许重复调用的漏洞导致此次攻击,已部署修复程序并将重新上线】

【Audius:合约中允许重复调用的漏洞导致此次攻击,已部署修复程序并将重新上线】 7月25日消息,去中心化音乐平台Audius发布攻击事件回顾报告,称是由于合约初始化代码中存在允许重复调用“initialize”函数的漏洞,所以导致已审计的合约遭到攻击。该漏洞允许攻击者修改投票系统并在网络中设置错误的权益值,从而导致Audius社区金库持有的1800万枚AUDIO代币被恶意转移到攻击者的钱包中。但剩余资金都是安全的,并且已部署修复程序,除了质押和委托功能外所有剩余的智能合约组件都已更新并重新运行,审核更新后希望在接下来的几天内全部重新上线。 此前报道,Audius社区金库被利用,损失1850万枚AUDIO代币。

相关推荐

封面图片

【Beosin:SEAMAN合约遭受漏洞攻击简析】

【Beosin:SEAMAN合约遭受漏洞攻击简析】 根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。 攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。
封面图片

【Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞】

【Fireblocks:智能合约钱包UniPass中发现ERC-4337帐户抽象漏洞】 Fireblocks研究团队最近在智能合约钱包UniPass中发现了一个ERC-4337帐户抽象漏洞。该漏洞允许攻击者对UniPass钱包进行完全帐户接管,通过替换钱包的可信入口点来激活帐户抽象模块。一旦帐户接管完成,攻击者就可以将钱包视为自己的钱包并耗尽其中的所有资金。钱包中激活了ERC-4337模块的数百名用户很容易受到这种攻击,区块链上的任何人都可以执行这种攻击。 该漏洞由3个不同的问题组成,这些问题无法单独利用,但组合起来后,可被利用以获得对钱包的所有者级访问权限。 1. 第一个问题是validateSignature 函数对于空签名返回“success=true”: 2. 第二个问题与计算调用合约本身的特权函数需要多少角色权重有关。 3. 第三个问题实际上并不是智能合约代码的问题;这是模块安装时的问题。当使用钱包的接口启用ERC-4337模块时,链上会调用addHook 4次来添加其功能。 在确认收到初始披露后的24小时内,UniPass团队立即成功执行了白帽操作,修补了所有易受攻击的钱包,并添加了缺失的“addPermission”调用,以便将来启用ERC-4337模块。 快讯/广告 联系 @xingkong888885
封面图片

谷歌 Chromecast 曝光多个漏洞:允许攻击者安装流氓固件或间谍软件

谷歌 Chromecast 曝光多个漏洞:允许攻击者安装流氓固件或间谍软件 安全研究人员谷歌 Chromecast 中的一系列漏洞。利用这些漏洞,攻击者可以安装恶意固件或间谍软件。相关漏洞需要物理访问才能利用。另一个问题涉及与内置麦克风的配对遥控器相关的风险。攻击者可能会远程激活此麦克风,从而截获设备附近的音频。在今年第二季度收到这些漏洞的通知后,谷歌于本月安全更新。
封面图片

WinRAR 高危漏洞允许黑客在用户打开压缩文件时运行程序

WinRAR 高危漏洞允许黑客在用户打开压缩文件时运行程序 WinRAR 修复了一个高危漏洞 CVE-2023-40477,该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。该漏洞需要欺骗用户因此危险等级评分略低为 7.8/10。该漏洞是 Zero Day Initiative 的 研究员 goodbyeselene 发现的,2023 年 6 月 8 日报告给开发商 RARLAB,漏洞存在于恢复卷处理过程中,是未能正确验证用户提供的数据导致的。RARLAB 在 8 月 2 日释出 WinRAR v6.23 修复了该漏洞。WinRAR 用户需要尽可能快的升级。WinRAR v6.23 还修复了另一个会导致错误文件初始化的漏洞。
封面图片

【微软发布漏洞修复补丁,部分漏洞可使得攻击者获取系统权限】

【微软发布漏洞修复补丁,部分漏洞可使得攻击者获取系统权限】 5月10日消息,微软发布漏洞修复补丁以修复发现的38项安全漏洞,其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限;CVE-2023-29325是一个远程代码执行漏洞,允许攻击者通过发送特制电子邮件来入侵受害者的设备。
封面图片

【Eden Network代币合约被控制,攻击者索要200枚ETH】

【Eden Network代币合约被控制,攻击者索要200枚ETH】 10月29日消息,Forta Network发推称,有攻击者获得MEV基础设施Eden Network部署者地址的所有权,并控制EDEN代币合约。该攻击者表示,“我们将部署一个新代币合约,Eden Network购买200枚ETH的NEDEN后才可赎回所有权。” 据悉,黑客现已创建新代币NEDEN合约,并表示Eden Network可以销毁3亿NEDEN来赎回所有权。 据此前报道,10月14日,Supremacy发推称,Eden Network部署者地址私钥遭泄露,或由Profanity漏洞导致,但因为部署者地址对于EDEN代币的管理权限已转移,所以暂未造成其他影响。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人