比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

ABU:慢霧:Transit Swap 事件新增 3 個套利機器人及 2 個攻擊模仿者,已知被盜損失總計超 2800 萬美元_SPORTS價格

Author:

Time:1900/1/1 0:00:00

據TransitSwap官方通告,BSC鏈新增4個獲利地址,ETH鏈新增1個獲利地址,新增被盜資金357萬美元,共計獲利地址8個,被盜損失總計擴大至2884萬美元。慢霧MistTrack與TransitSwap團隊協作分析后得出結論,新增5個獲利地址中有3個是套利機器人,而另外2個則是攻擊模仿者。此前,慢霧通過情報發現套利機器人地址0xcfb0...7ac7。慢霧MistTrack仍在持續跟進此次事件,對新增獲利地址的資金轉移與黑客畫像進行分析。

慢霧:利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道,SlowMist發布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻擊,利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日,利用者發起了20提案,并在提案中說明20提案是對16提案的補充,具有相同的執行邏輯。但實際上,提案合約多了一個自毀邏輯,其創建者是通過create2創建的,具有自毀功能,所以在與提案合約自毀后,利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是,社區沒有看到擬議合約中的犯規行為,許多用戶投票支持該提案。

在5月18日,利用者通過創建具有多個交易的新地址,反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性,利用者在5月20日7:18(UTC)銷毀了提案執行合約,并在同一地址部署了一個惡意合約,其邏輯是修改用戶在治理中鎖定的代幣數量。

攻擊者修改完提案合約后,于5月20日7:25(UTC)執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的,因此,該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后,攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡,同時利用者控制了治理。[2023/5/21 15:17:00]

截止到目前,在各方的共同努力下,攻擊黑客已將超8成的被盜資產退還到TransitSwap項目方地址,建議套利機器人所屬人和攻擊模仿者同樣通過service@transit.finance或鏈上地址與TransitSwap取得聯系,共同將此次被盜事件的受害用戶損失降低到最小。

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

攻擊黑客獲利地址:

慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:

1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

0x75F2...FFD46獲利金額:約2410萬美元

0xfa71...90fb

套利機器人獲利地址:

1:0xcfb0...7ac7(BSC)獲利金額:1,166,882.07BUSD

2:0x0000...4922(BSC)獲利金額:246,757.31USDT

3:0xcc3d...ae7d(BSC)獲利金額:584,801.17USDC

4.0x6C6B...364e(ETH)獲利金額:5,974.52UNI、1,667.36MANA

攻擊模仿者獲利地址:

1:0x87be...3c4c(BSC)獲利金額:356,690.71USDT

2:0x6e60...c5ea(BSC)獲利金額:2,348,967.9USDT

Tags:ABUSPOOREPORAbura FarmSpots2DoRenSPORTS價格

以太坊交易
WON:韓國檢方要求國際刑警組織對Terra創始人Do Kwon發出紅色通緝令_won幣種

據英國《金融時報》報道,韓國檢方要求國際刑警組織對倒閉的加密貨幣運營商TerraformLabs聯合創始人DoKwon發出紅色通緝令.

1900/1/1 0:00:00
COIN:外媒:Coinbase的cbETH智能合約具有黑名單功能_COI

據beincrypto報道,Coinbase的cbETH智能合約顯示,CoinbaseWrappedStakeETH(cbETH)具有黑名單功能.

1900/1/1 0:00:00
PPL:Ripple CEO:不認識也未投資過指控Ava Labs惡意競爭視頻中的律師_simplechain

Cryptoleaks曾在指控AvaLabs惡意競爭的報道中聲稱,律師KyleRoche曾就職于律師事務所BoiesSchillerFlexner.

1900/1/1 0:00:00
WEB:Web3電商平臺Rye完成1400萬美元融資,a16z Crypto領投_web3域名后綴

Web3電商平臺Rye宣布完成1400萬美元新一輪融資,本輪融資由a16zCrypto領投。GoatCapital、SolanaVentures、ElectricAnt、ElectricFeel.

1900/1/1 0:00:00
USD:幣安發言人:目前沒有將USDT自動轉換為BUSD的計劃,但未來可能會改變_usdt幣交易違法嗎香港

據Cointelegraph報道,此前幣安發布將自動轉換USDC、USDP及TUSD為BUSD的公告,但未提及USDT,幣安發言人對此表示:“我們目前還沒有將USDT自動轉換為BUSD的計劃.

1900/1/1 0:00:00
TEL:Telegram創始人擬在TON鏈上建立用戶名等拍賣市場,可通過類似NFT智能合約確權_Pastel

Telegram創始人PavelDurov周一在該應用程序中的一條消息中表示,可能很快會推出一個拍賣“用戶名、群組和頻道鏈接”的市場,Durov稱:“這將創建一個新平臺.

1900/1/1 0:00:00
ads