黑客利用重入漏洞攻击Paraluni，获利逾170万美元，约1/3已流入Tornado

今日8时04分（HKT），BSC链上的元宇宙金融项目Paraluni遭受黑客攻击，黑客获利逾170万美元。据欧科云链链上天眼初步分析：

1、攻击者资金来自PancakeSwap的闪电贷；

2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法，该方法未校验代币数组参数address memory _tokens是否和pid参数指向的LP相吻合，在涉及到LP数额变化时，也未加重入锁。

目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01 BNB（约112.58万美元），另有235.45 ETH（约60.86万美元）通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金（230 ETH）已流入Tornado Cash。

该事件提醒我们，在涉及到金额变动的合约方法中，一定要关注重入漏洞，尽量使用重入锁modifier。

链上天眼团队已对相关地址进行了监控，并将进一步跟进事件进展。

黑客利用虚假的新型冠状病地图传播恶意软件:在线安全研究人员警告，黑客发现了另一种利用新型冠状病爆发的方法——通过恶意新型冠状病地图感染人们。许多组织已经创建新型冠状病地图来跟踪病及其传播，许多人依靠它们来跟踪最新的感染数字。来自Reason Labs的Shai Alfasi最近报告称，黑客正在制作此类地图和仪表盘的假版本，以窃取信息。他们需要的数据包括密码和用户名、信用卡号码以及他们可以收集的任何其他敏感数据。虽然真正的地图在用户进入网站时就能提供信息，但这些假地图需要用户下载一个应用程序，帮助他们跟踪新的进展。但是，即使用户不安装应用程序，也可能受到感染。据目前所知，这些恶意软件似乎只会影响Windows设备，不过专家认为，其他系统也会受到感染只是时间问题。同时，Alfasi表示，假的新型冠状病地图使用恶意软件AZORult感染用户的设备。他补充说，该恶意软件激活了其他恶意软件。它就像一个信息窃贼，从2016年就开始存在了。除了窃取敏感数据外，它还可以在受感染的设备上安装其他恶意软件。他还指出，这些恶意软件在俄罗斯地下网络论坛中最为常见。（Beincrypto）[2020/3/18]

动态 | 黑客利用谷歌广告系统勒索比特币:近日，KrebsOnSecurity组织揭露了一起新的比特币赎金局。该局利用谷歌AdSense广告系统，威胁发布者和网站，黑客称如果不按期交钱，将用机器人生成的视图充斥整个网站，以触发Google的反欺诈措施。

据KrebsOnSecurity披露，一些利用Google AdSense网络投放横幅广告的网站最近收到了通过电子邮件进行勒索的试探。搞破坏的黑客要求提供5000美元的等价比特币，才能免于遭受AdSense攻击。

谷歌对此回复称，这种破坏活动实际上极为罕见，表示谷歌拥有检测机制，可以主动检测潜在的破坏活动并将其纳入执法系统。同时，谷歌还表示，无效流量通常会在广告商和发布商受到影响之前就会被过滤掉。（新浪科技）[2020/2/20]

全球超过10台亿电脑被植入挖矿插件 黑客利用视频播网站窃取Monero币:安全防护与广告拦截服务商Adguard估计，全球有超过10亿用户的电脑上被安装了恶意插件，这些插件将利用电脑的处理能力挖掘Monero币。据报道，视频网站Openload、Streamango、Rapidvideo和OnlineVideoConverter都被指控含有挖矿插件，用户观看视频插件会偷偷运行进行挖矿，然后犯罪分子非法窃取Monero币奖励。[2017/12/16]

相关资讯