【安全团队:Numbers Protocol(NUM)项目遭攻击】

【安全团队:NumbersProtocol(NUM)项目遭攻击】2022年11月23日05点37分老不正经报道,据慢雾安全团队情报,2022年11月23日,ETH链上的NumbersProtocol(NUM)代币项目遭到攻击,攻击者获利约13,836美元。慢雾安全团队以简讯形式分享如下:1.攻击者创建了一个恶意的anyToken代币,即攻击合约(0xa68cce),该恶意代币合约的底层代币指向NUM代币地址;2.接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。但是由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;3.接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利;此次攻击的主要原因在于NUM代币中没有permit函数且具有回调功能,所以可以传入假签名欺骗跨链桥导致用户资产被非预期转出。

相关推荐

封面图片

【安全团队:DFX Finance存在严重漏洞遭攻击,攻击者获利逾23万美元】

【安全团队:DFXFinance存在严重漏洞遭攻击,攻击者获利逾23万美元】2022年11月11日03点15分11月11日消息,据慢雾安全团队情报,ETH链上的DFXFinance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。2.紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。4.由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。5.最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
封面图片

【安全团队:Rubic被攻击事件简析】

【安全团队:Rubic被攻击事件简析】2022年12月25日06点53分据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过BeosinTrace追踪发现被盗资金已经全部转入了Tornadocash。
封面图片

【安全团队:以太坊上PEAKDEFI遭攻击,黑客获利约6.6万美元】

【安全团队:以太坊上PEAKDEFI遭攻击,黑客获利约6.6万美元】根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,ETH链上的PEAKDEFI项目遭受攻击,攻击者利用合约中sellLeftoverToken()函数未进行权限校验。导致黑客合约中转走29832BAT,5083SUSHI,32508matic,831link,总价值66659美元。
封面图片

【安全团队:某质押挖矿项目遭受攻击,损失约为11万美元】

【安全团队:某质押挖矿项目遭受攻击,损失约为11万美元】7月12日消息,据成都链安安全社区成员提供的情报显示,质押挖矿项目(0xa792B90067bd73b048AF12bC2a6E1978FE34BBdb)遭受黑客攻击。经成都链安技术团队分析,攻击者利用合约中updateBalance函数的加法溢出漏洞,修改攻击账户的质押量,最终利用超高的质押量领取出了该合约几乎全部的资产。最终,攻击者总计获利约为11万美元,目前获利资金一半已进入Tornado.Cash,另一半被转至0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A地址。成都链安“链必追”将会对涉案地址进行持续监控。
封面图片

【安全团队:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权】

【安全团队:SUSHIRouteProcessor2遭受攻击,请及时撤销对其的授权】2023年04月09日12点53分老不正经报道,据慢雾安全团队情报,2023年4月9日,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。
封面图片

【安全团队:Nova代币暴跌,攻击者获利约10万美元】

【安全团队:Nova代币暴跌,攻击者获利约10万美元】2022年12月09日06点37分老不正经报道,据BeosinEagleEye平台监测显示,Nova代币暴跌,攻击者(0xcbf184b8156e1271449cfb42a7d0556a8dcfef72)首先调用rewardHolders函数铸造了10,000,000,000,000,000,000,000,000,000个NOVA代币,随后利用铸造出的代币在Pair中兑换出了363.7BNB(105,811美元)。目前获利资金已全部进入Tornado.Cash。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人