比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > FTT > Info

NFT:慢霧發布OMNI被黑簡析,建議在關鍵函數采用重入鎖來防止重入問題_tranchess幣

Author:

Time:1900/1/1 0:00:00

慢霧安全團隊對此前7月10日OMNIProtocol閃電貸攻擊事件進行了分析:1.攻擊者首先通過supplyERC721函數抵押doodle,抵押后合約會給攻擊者相應的憑證NToken;2.調用borrow函數借出WETH;3.調用withdrawERC721嘗試提取NFT,跟進到內部函數executeWithdrawERC721發現,提款會先通過burn函數去燃燒憑證而burn函數中的safeTransferFrom函數會去外部調用接收地址的OnERC721Received函數,攻擊者利用這點重入了合約的liquidationERC721函數;4.在liquidationERC721函數中,攻擊者先支付了WETH并接收doodlenft,接著通過判斷后會調用_burnCollateralNTokens函數去燃燒掉對應的憑證,同樣的利用了burn函數外部調用的性質攻擊者再次進行了重入操作,先是抵押了清算獲得的nft,接著調用borrow函數去借出了81個WETH,但由于vars變量是在liquidationERC721函數中定義的,因此第二次借款不會影響到liquidationERC721函數中對用戶負債的檢查,這導致了攻擊者可以通過userConfig.setBorrowing函數將用戶的借款標識設置為false即將攻擊者設置成未在市場中有借款行為;5.在提款時會首先調用userConfig.isBorrowingAny()函數去判斷用戶的借款標識,假如借款標識為false,則不會判斷用戶的負債,故此重入后的81WETH的負債并不會在提款時被判斷,使得攻擊者可以無需還款則提取出所有的NFT獲利

慢霧:Transit Swap黑客攻擊交易被搶跑,套利機器人獲利超100萬美元:10月1日消息,據慢霧安全團隊情報,Transit Swap 黑客轉移用戶 BSC 鏈 BUSD 資產時被套利機器人搶跑,區塊高度為21816885,獲利107萬BUSD。套利機器人相關地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前,在各方的共同努力下,黑客已將 70% 左右的被盜資產退還到Transit Swap開發者地址,建議套利機器人所屬人同樣通過service@transit.finance或鏈上地址與Transit Swap取得聯系,共同將此次被盜事件的受害用戶損失降低到最小。[2022/10/2 18:37:44]

此次攻擊的主要原因在于burn函數會外部調用回調函數來造成重入問題,并且在清算函數中使用的是舊的vars的值進行判斷,導致了即使重入后再借款,但用戶的狀態標識被設置為未借款導致無需還款。慢霧安全團隊建議在關鍵函數采用重入鎖來防止重入問題。

慢霧:有用戶遭釣魚攻擊,在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息,有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析,此是由于該受害用戶遭受釣魚攻擊,錯誤的對攻擊者精心構造的惡意訂單進行簽名,惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配,并以攻擊者指定的極低價格成交,導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

BiKi平臺入駐慢霧區 發布“安全漏洞與威脅情報賞金計劃”:為了進一步保障用戶資產安全,提高平臺安全風控等級,BiKi平臺入駐慢霧區,發布“安全漏洞與威脅情報賞金計劃”,嚴重漏洞最高獎勵$10,000等值BIKI。

BiKi是一家數字資產交易服務和區塊鏈技術提供商,旗下包括幣幣、合約、網格、杠桿、余幣寶、抵押借貸、ETF、流動性挖礦等業務。致力于為用戶提供安全、穩定、高效的服務。

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,提供“威脅發現到威脅防御一體化因地制宜的安全解決方案”,包括:安全審計、威脅情報(BTI)、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢(AML)、假充值漏洞掃描等SAAS型安全產品。[2021/1/18 16:26:21]

Tags:NFTRANTRATRANSNFT4PlayTRANS幣tranchess幣The Transplant Coin

FTT
加密貨幣:歐洲央行:氣候問題或將使歐盟當局對PoW加密資產交易征收碳稅或禁止挖礦_我國為什么禁止加密貨幣

據Cryptobriefing報道,歐洲央行的一份新報告質疑氣候風險是否計入了比特幣等加密資產.

1900/1/1 0:00:00
HAI:墨宇宙獲1500萬元種子輪融資 投前估值達1.5億元_QOS Chain

墨宇宙科技有限公司于近期獲1500萬元種子輪融資,此次融資由正瀚資本、方元中環、博瑞長興、海南新聲全等機構投資,投前估值1.5億元.

1900/1/1 0:00:00
ALA:Alavanche創始人:Solana攻擊事件或是源于隨機數重用漏洞導致用戶私鑰泄露_Avalaunch

Alavanche創始人EminGünSirer發推稱:“目前針對Solana生態系統的持續攻擊仍在進行中,希望官方能快速澄清很多錯誤信息和猜測并恢復.

1900/1/1 0:00:00
REN:Cyolo完成6000萬美元B輪融資,National Grid Partners領投_pit幣全國最新消息今日

據GolobeNewswire報道,零信任網絡訪問解決方案Cyolo宣布完成6000萬美元B輪融資,本輪融資由NationalGridPartners領投.

1900/1/1 0:00:00
TORN:美國財政部:Tornado Cash自創建以來已被用于清洗價值逾70億美元的加密貨幣_TOR

據美國財政部官網披露的信息顯示,加密貨幣混合器TornadoCash混合器自2019年創建以來已被用于清洗價值超過70億美元的加密貨幣.

1900/1/1 0:00:00
STR:加密礦企Stronghold Q2凈虧損4020萬美元,正與貸方進行債務重組談判_比特幣行情軟件my

加密礦企StrongholdDigitalMining,Inc.(SDIG)周二在致美國證券交易委員會的通知中表示,它正在與貸方就可能的債務重組或再融資協議進行談判,以維持生存.

1900/1/1 0:00:00
ads