SIN:Beosin：Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞

金色财经报道，Beosin安全团队发现，在以太坊合并并分叉出ETHW后，GnosisOmniBridge跨链桥项目，由于合约代码中固定写死了chainID，而未真正验证当前所在链的chainID，导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在ETH主网上通过omniBridge转移WETH，随后将相同的交易内容在ETHW链上进行了重放，获取了等额的ETHW。目前攻击者已经转移了741ETHW到交易所。Beosin安全团队建议如果项目方合约里面预设了chainID，请先手动将chainId更新，即使项目方决定不支持ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在ETHW链上更新。

Beosin发现Move VM严重级别漏洞:金色财经报道，近日，区块链安全公司Beosin发现Move VM严重级别漏洞。Beosin安全研究团队在Move虚拟机中发现了一个没有限制递归调用深度而导致的栈溢出漏洞，这个漏洞可以导致整个网络崩溃（total network shutdown），还会让新的validator节点无法加入到网络中，甚至有可能导致硬分叉（hard fork）。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影响。目前该漏洞已被官方修复。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修复了此漏洞。[2023/6/15 21:37:59]

Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后， 攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]

Beosin已完成对永久通缩协议Mimosa代码审计:12月28日消息。据官方通告，区块链安全公司Beosin（LianAnTech）宣布已完成对永久通缩协议Mimosa的审计工作，审计项包括协议安全性评估、代码漏洞审查等，确认了MIMO在以太坊链上传输，通过扣除转账手续费的形式进行代币销毁，手续费比例可在有效范围0-100%内修改，当手续费比例为100%时转账数量全部销毁；目前手续费为默认5%。[2020/12/28 15:54:14]

标签：SINEOSAINETHSing To EarnEOSTPAINTeth钱包地址查询

DOGE热门资讯