以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 區塊鏈 > Info

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定

Author:

Block

Time:2023/5/19 15:13:08

5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。

慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

慢霧:NimbusPlatform遭遇閃電貸攻擊,損失278枚BNB:據慢霧安全團隊情報,2022 年 12 月 14 日, BSC 鏈上的NimbusPlatform項目遭到攻擊,攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下:

1. 攻擊者首先在 8 天前執行了一筆交易(0x7d2d8d),把 20 枚 BNB 換成 NBU_WBNB 再換成 GNIMB 代幣,然后把 GNIMB 代幣轉入 Staking 合約作質押,為攻擊作準備;

2. 在 8 天后正式發起攻擊交易(0x42f56d3),首先通過閃電貸借出 75477 枚 BNB 并換成 NBU_WBNB,然后再用這些 NBU_WBNB 代幣將池子里的絕大部分 NIMB 代幣兌換出;

3. 接著調用 Staking 合約的 getReward 函數進行獎勵的提取,獎勵的計算是和 rate 的值正相關的,而 rate 的值則取決于池子中 NIMB 代幣和 GNIMB 代幣的價格,由于 NIMB 代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多;

4. 攻擊者最后將最后獲得的 GNIMB 代幣和擁有的 NIMB 代幣換成 NBU_WBNB 代幣后再換成 BNB,歸還閃電貸獲利;

此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。[2022/12/14 21:44:29]

慢霧:yearn攻擊者利用閃電貸通過若干步驟完成獲利:2021年02月05日,據慢霧區情報,知名的鏈上機槍池yearnfinance的DAI策略池遭受攻擊,慢霧安全團隊第一時間跟進分析,并以簡訊的形式給大家分享細節,供大家參考:

1.攻擊者首先從dYdX和AAVE中使用閃電貸借出大量的ETH;

2.攻擊者使用從第一步借出的ETH在Compound中借出DAI和USDC;

3.攻擊者將第二部中的所有USDC和大部分的DAI存入到CurveDAI/USDC/USDT池中,這個時候由于攻擊者存入流動性巨大,其實已經控制CruveDAI/USDC/USDT的大部分流動性;

4.攻擊者從Curve池中取出一定量的USDT,使DAI/USDT/USDC的比例失衡,及DAI/(USDT&USDC)貶值;

5.攻擊者第三步將剩余的DAI充值進yearnDAI策略池中,接著調用yearnDAI策略池的earn函數,將充值的DAI以失衡的比例轉入CurveDAI/USDT/USDC池中,同時yearnDAI策略池將獲得一定量的3CRV代幣;

6.攻擊者將第4步取走的USDT重新存入CurveDAI/USDT/USDC池中,使DAI/USDT/USDC的比例恢復;

7.攻擊者觸發yearnDAI策略池的withdraw函數,由于yearnDAI策略池存入時用的是失衡的比例,現在使用正常的比例體現,DAI在池中的占比提升,導致同等數量的3CRV代幣能取回的DAI的數量會變少。這部分少取回的代幣留在了CurveDAI/USDC/USDT池中;

8.由于第三步中攻擊者已經持有了CurveDAI/USDC/USDT池中大部分的流動性,導致yearnDAI策略池未能取回的DAI將大部分分給了攻擊者9.重復上述3-8步驟5次,并歸還閃電貸,完成獲利。參考攻擊交易見原文鏈接。[2021/2/5 18:58:47]

歐盟理事會一致批準加密資產市場法規(MiCA)

5月16日消息,歐盟理事會一致批準了加密資產市場法規(MiCA)。MiCA要求錢包提供商和交易平臺等加密公司尋求運營許可證,并要求穩定幣發行方持有適當的儲備。此前報道,4月份,歐盟議會以517-38票批準了歐盟加密資...

Block Chain:2023/5/16 15:06:12
氣候金融公司Solid World與Polygon合作開放遠期碳流動性資金池

金色財經報道,氣候金融公司Solid World在Polygon的支持下,該公司在自動做市商上開放了第一個遠期碳資產池.

Block Chain:2023/5/19 15:12:14
科技初創公司Auradine宣布完成8100萬美元的A輪融資

金色財經報道,科技初創公司 Auradine 宣布完成 8100 萬美元的 A 輪融資,風險投資公司 Celesta Capital 和 Mayfield 領投,Cota Capital、DCVC 和斯坦福大學參投.

Block Chain:2023/5/16 15:06:51
加密交易平臺Finblox推出人工智能金融顧問FinGPT

5月16日消息,由Dragonfly和Sequoia支持的加密貨幣交易平臺Finblox推出人工智能金融顧問FinGPT,該工具使用戶能夠使用人工智能算法優化他們的加密資產組合,在Finblox生態系統中提供個性化的...

Block Chain:2023/5/16 15:05:32
Ape CoinDAO開放特別委員會成員申請,提名和選舉將在5月和6月進行

5月17日消息,Ape Coin基金會現已開始接受競選特別委員會的申請,并且發布了Google表單供申請人提交信息.

Block Chain:2023/5/17 15:07:49
比特幣鏈上活躍地址數量已降至2021年7月以來的最低水平

金色財經報道,數據顯示,盡管比特幣網絡交易量持續增長,但活躍地址數量已降至 2021 年 7 月以來的最低水平達76.4 萬個。?研究人員對此表示,由于費用高昂,人們對進行交易猶豫不決.

Block Chain:2023/5/16 15:06:28
Curve Finance:crvUSD UI已上線

5月18日消息,Curve Finance發推稱,Curve原生穩定幣crvUSD UI現已上線。 此前5月14日消息,Curve Finance發推稱,Curve原生穩定幣crvUSD合約重新部署已完成.

Block Chain:2023/5/18 15:09:57
一鯨魚地址在90分鐘前向Binance轉入1750枚BTC

金色財經報道,據Lookonchain監測數據顯示,一鯨魚地址在90分鐘前向Binance轉入1750枚BTC(價值約4800萬美元).

Block Chain:2023/5/18 15:11:59
美SEC要求法院駁回Coinbase請愿書,并要求提供針對加密行業的額外監管指導

金色財經報道,美國證券交易委員會 (SEC) 向上訴法院表示,加密貨幣交易所 Coinbase 周一晚間未能證明監管機構需要為數字資產行業創建新的監管框架.

Block Chain:2023/5/16 15:05:50
以太坊升級以來約352萬枚ETH新存入質押,凈存款約84.2萬枚ETH

金色財經報道,Token.Unlock數據顯示,自以太坊上海升級完成以來,已有約268萬枚ETH解除質押,約352萬枚ETH新存入質押,凈存款約84.2萬枚ETH。此外,當前約4.3萬枚ETH處于待提款狀態.

Block Chain:2023/5/16 15:05:31
Web3增長堆棧Aki Network以4000萬美元估值獲得種子輪融資

金色財經報道,Web3增長堆棧Aki網絡宣布獲得由Akatsuki的Web3基金Emoote和Mask Network領導的種子輪融資,Aki Network估值為4000萬美元.

Block Chain:2023/5/17 15:07:00
運動時尚品牌彪馬PUMA推出PUMA Pass NFT

5月19日消息,運動時尚品牌彪馬PUMA官推PUMA.eth宣布,該公司正計劃把NITRO Collection發展成為一個更廣泛的生態系統,因此正式推出PUMA Pass NFT.

Block Chain:2023/5/19 15:13:34
ads