據慢霧安全團隊監測,ETH鏈上的brahTOPG項目遭到攻擊,攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下:
1.攻擊者首先查詢了受害用戶0x392472的余額,接著調用了Zapper合約的zapIn函數。
美國參議員Gillibrand和Lummis:大多數山寨幣都是證券:金色財經消息,美國參議員Kirsten Gillibrand和Cyntia Lummis認為,根據他們提出的新立法,大多數山寨幣可能會被視為證券,但他們確認,比特幣和以太坊將被歸類為商品。
此前6月7日報道,美國參議員Gillibrand和Lummis正式發布加密監管法案。(cointelegraph)[2022/6/9 4:13:18]
2.首先函數會為合約轉賬requiredToken參數所指定的代幣,由于該函數傳入的參數是外部可控的,所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。
3D游戲Space Misfits宣布獲得Animoca Brands支持:1月27日消息,基于ENJIN區塊鏈技術的3D多人太空游戲Space Misfits宣布,Animoca Brands成為其主要支持者。Animoca Brands在開發頂級區塊鏈游戲方面的豐富經驗將成為Space Misfits團隊的寶貴工具,并使其能夠擴展用戶群。[2022/1/27 9:17:03]
3.接著會調用內部函數zap,在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值,由于第二步的操作所以通過了該檢查。
加密交易員Peter Brandt:比特幣正在重新定義超買概念:1月7日消息,一些指標顯示比特幣處于超買狀態。資深加密交易員Peter Brandt對此在推特上表示,比特幣正在重新定義超買概念。他還解釋道,超買是所有歷史牛市中的典型現象,比特幣正處于第三拋物線上升的中間。(u.today)[2021/1/7 16:38:41]
4.之后會外部調用假代幣合約的approve函數,該函數為攻擊者惡意構造,是為了給Zapper合約轉賬frax代幣,此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。
5.最后外部調用了swapTarget參數所指定的合約,并且調用所傳入參數也是外部可構造的,所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。
6.攻擊者重復以上步驟,總共攻擊了三次,轉移了三個受害者賬戶下的USDC代幣約889,343枚。
此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題,攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。
慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。
據Nansen發推稱,VitalikButerin于10月15日發布了一條推文,建議創建一個名為“THEProtocol”的新加密項目,意欲給詐騙者和機器人帶來一些問題.
1900/1/1 0:00:00CoboVentures針對區塊鏈的擴容問題,從發展時間線、技術原理、優缺點和應用四個方面對當前主流的鏈下擴容方案進行了深度解析.
1900/1/1 0:00:00Meta宣布Instagram正開發面向創作者的NFT鑄造和銷售功能,創作者將可在Instagram上制作自己的數字收藏品,并將其直接出售給Instagram內外的粉絲.
1900/1/1 0:00:00加密KOLZachXBT發推稱,FTX黑客與FTX團隊和巴哈馬官方其實沒有關系,“0x59”開頭的錢包地址應該屬于一個黑帽黑客,在出售ETH、DAI和BNB時使用了非常高的交易滑點.
1900/1/1 0:00:00據福布斯援引破產法院相關動議報道,FTX集團2021年納稅申報表合計顯示結轉凈經營虧損為37億美元。這意味著SBF的業務自成立以來凈虧損37億美元.
1900/1/1 0:00:00Dappradar最新報告顯示,盡管目前市場低迷,但元宇宙和Web3游戲公司的融資規模仍相當可觀。鏈游和元宇宙項目在2022年已累計融資約70億美元,第三季度的融資額達到12億美元.
1900/1/1 0:00:00