4月6日消息,派盾(PeckShield)统计显示,9天内已有11个BAYC系列NFT被盗,总价值约166万美元,包括此前周杰伦遭受钓鱼攻击的BAYC # 3738 NFT。
安全团队:MTDAO项目方的未开源合约遭受闪电贷攻击,损失近50万美元:金色财经报道,据Beosin EagleEye Web3安全预警与监控平台检测显示,MTDAO项目方的未开源合约0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841遭受闪电贷攻击,受影响的代币为MT和ULM。攻击交易为0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499,共获利487,042.615 BUSD。攻击者通过未开源合约中的0xd672c6ce和0x70d68294函数,调用了MT与ULM代币合约中的sendtransfer函数获利(因为同为项目方部署,未开源合约0xFaC06484具有minter权限)。
Beosin安全团队分析发现攻击者共获利1930BNB,其中1030BNB发送到0xb2e83f01D52612CF78e94F396623dFcc608B0f86地址后全部转移到龙卷风地址,其余的swap为其他代币转移到其它地址。用户和项目方请尽快移除流动性,防止攻击合约有提币和兑换接口。[2022/10/17 17:29:32]
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
安全团队:以太坊或因生态缺陷导致亿级代币被盗:近日区块链生态安全团队慢雾科技观测到了一起自动化盗币行为,攻击者利用以太坊节点 Geth/Parity RPC API 鉴权缺陷,恶意调用 eth_sendTransaction 盗取代币,持续时间长达两年,单被盗的且还未转出的以太币价值就高达现价2千万美金,还有代币种类164种,总价值难以估计。[2018/3/21]
4月7日消息,Coinbase将于4月7日在印度班加罗尔举办加密社区活动,讨论印度加密和Web3的未来。此外,Coinbase的投资部门Coinbase Ventures已与加密孵化公司Buidlers Tribe达...
区块链:2022/4/7 14:09:50金色财经报道,香港奇案财政司司长、“薯片叔叔”曾俊华在社交媒体上宣布发行NFT。曾俊华在社交媒体上以我不是财爷 以后叫我Choi Yeah!发文,希望香港人在疫情困难时刻可以更加开心,所以邀请了日本画家山内庸资(Yo...
区块链:2022/4/5 14:04:46金色财经报道,英国政府周一宣布了一系列举措,旨在使该国成为全球加密技术和投资中心。财政大臣Rishi Sunak在新闻稿表示,我们今天概述的措施将有助于确保公司能够在这个国家进行投资、创新和扩大规模。财政大臣约翰·格...
区块链:2022/4/5 14:04:114月6日消息,区块链安全公司OpenZeppelin发布智能合约Cairo v0.1.0,这是一个用Cairo为StarkNet编写的智能合约库,一个去中心化的ZK Rollup,该版本包含几个重要的智能合约,包括E...
区块链:2022/4/6 14:06:474月6日消息,即将离任的华纳媒体(WarnerMedia)首席执行官Jason Kilar表示,好莱坞的未来在于区块链。Kilar称:“我认为这将是一个潜在的浪潮,它将来到好莱坞,就像DVD浪潮在90年代来到好莱坞一...
区块链:2022/4/6 14:06:45据官方消息,NirvanaMeta将和BABYOKX签署合作,致力于推进NirvanaMeta自己公链的memecoin。 据悉,BABYOKX在4月1日诞生, Nirvana攻击者将50万枚DAI...
区块链:2022/4/4 14:02:544月6日消息,数据显示,三种主要元宇宙协议:Decentraland、Axie Infinity和The Sandbox的代币今年以来都在下跌,表现明显不如比特币。尽管风投资本对这三款游戏都很感兴趣,并且已经向元宇宙...
区块链:2022/4/6 14:07:584月6日消息,除在2018年两天以外,美国30年期固定抵押贷款利率自2011年以来首次突破5%,一年前的今天是3.38%。今年年初以来,抵押贷款利率一直在攀升,部分原因是美联储遏制通胀的政策,以及俄罗斯军事行动引发的...
区块链:2022/4/6 14:06:124月6日消息,挪威邮轮公司(NorwegianCruiseLine)宣布正式进军元宇宙市场并推出邮轮行业首个NFT系列。挪威邮轮表示,他们将在美国东部时间2022年4月13日9:00公开拍卖和出售六套NFT,这些NF...
区块链:2022/4/7 14:09:064月7日消息,Cosmos SDK产品总监Jack Zampolin今日凌晨在推特上发布Cosmos生态L1网络Juno的最新情况,称其已经测试了升级路径并且它正在工作,Juno主网将于UTC时间4月7日21:00(...
区块链:2022/4/7 14:10:114月7日消息,跨链DeFi平台Kava的以太坊共链Beta版本正式上线,该版本升级了EVM基础设施,通过额外的验证器提高了稳定性并已部署了超过20个协议。 波卡生态跨链DEX Polkadex赢得第16轮波卡...
区块链:2022/4/7 14:09:31金色财经消息,南非当局正在积极研究将其引入本国金融市场的可行性。南非储备银行和政府间金融科技工作组已经完成了一个联合概念验证项目,探索引入分布式账本技术(DLT)的政策和监管影响。该实验被称为Project Khok...
区块链:2022/4/7 14:09:04
木星链