【慢雾:LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为】

【慢雾:LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为】2023年09月10日04点50分老不正经报道,据慢雾安全团队链上情报,LDO的token合约在处理转账操作时,如果转账数量超过用户实际持有的数量,该操作并不会触发交易的回滚。相反,它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的ERC20标准token合约不同。由于上述特性,存在一种潜在的“假充值”风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。慢雾建议如下:1.在处理token到账的逻辑时,不仅仅依赖于交易的成功或失败,还需要根据token合约的实际返回值进行判断。2.请注意,市场上存在许多非ERC20标准的token合约。在接入新的token之前,务必对其合约代码进行深入的理解和分析,确保实现正确的入账逻辑。3.建议定期进行代码审计和安全检查,确保系统的健壮性和安全性。Token合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性,强烈建议在接入任何新的token之前,深入理解其合约逻辑并进行充分的测试。

相关推荐

封面图片

【GALA代币因合约变更或存在“假充值”风险,漏洞已被黑客利用】

【GALA代币因合约变更或存在“假充值”风险,漏洞已被黑客利用】2023年09月13日01点27分9月13日消息,据X-explore监测,由于合约变更,GalaGame代币GALA在CEX上存在“假充值”风险,黑客于9月6日利用该漏洞,已将Coinhub中价值2.7枚ETH的GALA全部取出。X-explore表示,GALA于2023年5月15日进行重大升级,并更新代币合约地址。因此现在有两种代币在流通,都被称为GALA,GALA旧代币和正常的GALA价格比是1:12。攻击者自今年7月27日起一直使用GALA旧代币在各交易所充值,以测试假充值。与此同时,黑客还参与LDO“假充值”事件以及去年8月的NomadBridge攻击事件。9月6日,黑客充值GALA旧代币至CoinHub,成功让交易所将充值的旧GALA视为真正的Gala代币。随后黑客用户提取真实的Gala,现在交易所热钱包中只剩下价值168美元的Gala,黑客赚取2.7枚ETH。此前消息,据慢雾安全团队链上情报,LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为。对此,LidoFinance表示,尽管黑客据称利用了LDO代币合约中已知的安全漏洞,但LDO和stETH代币仍然是安全的。Lido没有证实任何漏洞,但承认安全漏洞是已知的。
封面图片

慢雾:警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击慢雾安全提醒,近期有攻击者利用WordPress插件漏洞攻击正常的站点,然后在站点中注入恶意的js代码,发起水坑攻击,在用户访问站点时弹出恶意弹窗,骗取用户执行恶意的代码或进行Web3钱包签名,从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞,及时更新插件,避免被攻击;用户在访问任何站点的时候,要仔细识别下载的程序以及Web3签名的内容,避免下载到恶意程序或因授权了恶意的签名导致资产被盗。
封面图片

【慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】

【慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】2024年04月28日02点46分老不正经报道,慢雾安全提醒,近期有攻击者利用WordPress插件漏洞攻击正常的站点,然后在站点中注入恶意的js代码,发起水坑攻击,在用户访问站点时弹出恶意弹窗,骗取用户执行恶意的代码或进行Web3钱包签名,从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞,及时更新插件,避免被攻击;用户在访问任何站点的时候,要仔细识别下载的程序以及Web3签名的内容,避免下载到恶意程序或因授权了恶意的签名导致资产被盗。
封面图片

【慢雾:利用者通过执行恶意提案控制了Tornado.Cash的治理】

【慢雾:利用者通过执行恶意提案控制了Tornado.Cash的治理】2023年05月21日08点38分老不正经报道,SlowMist发布Tornado.Cash治理漏洞解析。5月20日,Tornado.Cash遭受了治理攻击,利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日,利用者发起了20提案,并在提案中说明20提案是对16提案的补充,具有相同的执行逻辑。但实际上,提案合约多了一个自毁逻辑,其创建者是通过create2创建的,具有自毁功能,所以在与提案合约自毁后,利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是,社区没有看到拟议合约中的犯规行为,许多用户投票支持该提案。在5月18日,利用者通过创建具有多个交易的新地址,反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性,利用者在5月20日7:18(UTC)销毁了提案执行合约,并在同一地址部署了一个恶意合约,其逻辑是修改用户在治理中锁定的代币数量。攻击者修改完提案合约后,于5月20日7:25(UTC)执行恶意提案合约。该提案的执行是通过Delegatecall执行的,因此,该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为10,000。提案执行完成后,攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽,同时利用者控制了治理。
封面图片

【安全公司:UTXO多签机制可被用于发起对Blockbook的假充值攻击,请注意排查风险】

【安全公司:UTXO多签机制可被用于发起对Blockbook的假充值攻击,请注意排查风险】据官方消息,继昨日慢雾安全团队披露的UTXO多签机制可被用于发起对交易所的假充值攻击之后,慢雾区安全伙伴安全鹭(Safeheron)反馈了新的威胁情报,知名开源中间件Blockbook(Trezor开源产品)也受此特性影响,安全鹭发现Blockbook获取交易数据接口返回结果中对MultiSig类型交易展示不完善,如果output为MultiSig脚本,Blockbook将会选择脚本中最后一个地址展示,和普通地址交易无法区分。如果交易所、钱包客户端或者其它中心化服务仅根据Blockbook返回结果进行入账判断,将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL,慢雾安全团队建议相关运营方注意排查风险。
封面图片

【慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用】

【慢雾:TitanoFinance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用】据慢雾区情报消息,2月14日,BSC链上的TitanoFinance项目遭受攻击,损失约190万美元,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人