內容來自“大橙子&小同的干貨鋪”的知識星球,作者康納Repeat。
1. AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換
2.AdminUpgradeabilityProxy權限沒有移交timelock一項目方不受時間鎖約束,可以隨意使用1。所說的能力,替換邏輯合約最終項目方無限制地將正常合約替換成了攻擊合約,卷款跑路。
LendHub被黑簡析:系LendHub中存在新舊兩市場:金色財經報道,據慢霧安全區情報,2023 年 1 月 13 日,HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下:
此次攻擊原因系 LendHub 中存在兩個 lBSV cToken,其一已在 2021 年 4 月被廢棄但并未從市場中移除,這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格,這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回,在新的市場進行借貸操作,惡意套取了新市場中的協議資金。
目前主要黑客獲利地址為 0x9d01..ab03,黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時,黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡,已經得到黑客的部分痕跡,慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]
1.項目方故意“坦誠”給出合約的timelock轉移權限記錄,展示的確執行了changeAdmin方法移交權限給timelock 地址,用于混淆視聽
Beosin:BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BSC鏈上的gala.games項目遭受攻擊,Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens(GALA) 代幣增發,累計增發55,628,400,000枚pTokens(GALA),攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB,攻擊者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。
第一筆攻擊交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二筆攻擊交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]
2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合約,changeAdmin方法內部調用追蹤到304行,實際寫入key為ADMIN_ SLOT, 但讀取key卻為ADMIN_ SLOT。即O (歐)和0 (零)的一個細微差異,讓changeAdmin方法完全失效,從而達到了已經移交權限的假象
Beosin:UVT項目被黑客攻擊事件簡析,被盜資金已全部轉入Tornado Cash:金色財經報道,據Beosin EagleEye 安全預警與監控平臺檢測顯示,UVT項目被黑客攻擊,涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
經Beosin安全團隊分析,發現攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法,該方法會調用被攻擊合約的0x7e39d2f8方法,因為合約具有Controller權限,所以通過驗證直接轉走了被攻擊合約的所有UVT代幣,Beosin安全團隊通過Beosin Trace進行追蹤,發現被盜資金已全部轉入Tornado Cash。[2022/10/27 11:48:46]
1.高度警惕任何包含proxy 方式合約的項目,若未經timelock約束,合約有被瞬間替換的風險
2. never trust, always verify! 不要相信項目方給出的timelock“證據”, 對于未經審計的fork項目,務必逐個contract做好與原項目的diff (如果你做到了,就可以躲過meerkat的障眼法)
3.基于1更要養成良好的approve 管理意識,meerkat在跑路后仍然通過無限授權,盜取用戶錢包內資產,窮兇極惡。切勿麻痹大意,你永遠不知道你曾經授權過的土礦,是否包含proxy模式,是否已經替換了惡意合約!
4. timelock是安全底線,無論是HECO的LLC,還是BSC的popcornswap、meerkat,犯罪方式越發隱蔽的,但萬變不離其宗,都是無timelock、假timelock。 珍愛生命,遠離無鎖土礦
昨天案發后幾乎沒有看到個人或團隊有明確解析,考慮到未來模仿犯罪不可避免,索性公開信息希望做到安全教育的目的。老農務必提高自己的姿勢水平,留意此類風險。最后祝大家挖礦出入平安。
Tags:SINEOSTIMLOCKPissing Cateosdac幣最新消息Santiment Network TokenLOCKPAY
貨幣是一種以信任為基礎的社會和法律結構,但現在,貨幣的概念已經發生演變。1914年,美聯儲首次發行紙幣,也開創了一個全新的貨幣時代.
1900/1/1 0:00:00《覓新》是金色財經推出的一檔區塊鏈項目觀察類項目,覆蓋行業各領域項目發展情況,具體設計到項目概況、技術進展、募資情況等,力圖為您呈現熱門新潮的項目合輯.
1900/1/1 0:00:00最近世超在上網沖浪的時候,發現了一個貧窮限制我想象力的鮮活例子:一個平平無奇的表情包竟然能夠賣到 58 萬美金?! 相信有些網齡的差友們應該在社交媒體上看過這只憨憨的彩虹貓.
1900/1/1 0:00:00比特幣市場經歷了自突破2萬美金歷史高點以來的第二次大幅修正。本周,我們將回顧市場和鏈上指標來分析此次回調相關的數據。本周,比特幣市場開始了突破2萬美元歷史高點后的第二次明顯的修正.
1900/1/1 0:00:00原文標題:《比特幣又瘋了,俄羅斯軍方竟成幕后玩家?價格漲破56000美元,24小時8.5萬人爆倉!這次能否指引A股反彈?》北京時間3月10日晚上九點半,美國公布2月季調后CPI,環比升0.4%.
1900/1/1 0:00:00近日,胡潤研究院發布了《2021世茂港珠澳口岸城·胡潤全球富豪榜》,上榜企業家財富計算截止日期為2021年1月15日.
1900/1/1 0:00:00