以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 世界幣 > Info

POO:慢霧:SUSHI RouteProcessor2 遭受攻擊,請及時撤銷對其的授權

Author:

Time:1900/1/1 0:00:00

據慢霧安全團隊情報,SUSHIRouteProcessor2遭到攻擊。慢霧安全團隊以簡訊的形式分享如下:

1.根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查,導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。

慢霧:警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息,Honeyswap官方推特發文,Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官網仍未刪除該惡意地址,請立即停止使用Honeyswap進行交易,到revoke.cash排查是否有approvals 交易到惡意地址,避免不必要的損失。[2022/5/10 3:03:22]

2.由于在合約中并未對Pool是否合法進行檢查,直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。

慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

3.惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數,由于lastCalledPool變量已被設置為Pool,因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。

慢霧:攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱,通過將交易放在bloxy.info上查看完整交易流程,可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用,但是這兩次調用都是獨立的,并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著,在第二次“supply()”函數的調用過程中,攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用,最終提現。慢霧安全團隊表示,不難分析出,攻擊者的“withdraw()”調用是發生在transferFrom函數中,也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯,攻擊者通過“supply()”函數重入了Lendf.Me合約,造成了重入攻擊。[2020/4/19]

4.攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數,以竊取其他已對RouteProcessor2授權的用戶的代幣。

幸運的是部分用戶的資金已被白帽搶跑,有望收回。慢霧安全團隊建議RouteProcessor2的用戶及時撤銷對0x044b75f554b886a065b9567891e45c79542d7357的授權。

Tags:SWAPPOOPOOLENDTigSwapCandyMetaPoolPOOLX價格XEND

世界幣
DAO:朱正國對話肖風:從 Web2 到 Web3 的演進與融合

作者:NorthBetaCapital由萬向區塊鏈實驗室及HashKeyGroup聯合主辦、W3ME承辦的2023香港Web3嘉年華(HongKongWeb3Festival2023)于2023.

1900/1/1 0:00:00
USD:Nano Labs 旗下元宇宙基礎設施 iPollo 公布最新技術方案,致力于通過 AIGC 等技術降低元宇宙開發門檻

由ChainCatcher主辦的“Zhen”系列活動第一期今日在香港舉行,首期主題為“華人builder”的新審美觀.

1900/1/1 0:00:00
RES:每周要聞精選 | 以太坊已完成上海升級,用戶現可提取質押 ETH 及相關收益;香港將投入超 7 億港元加快數碼經濟發展

整理:西昻翔,ChainCatcher 重要資訊 1、以太坊已完成上海升級,用戶現可提取質押的ETH及相關收益據OKLink數據顯示,當前以太坊已完成上海升級.

1900/1/1 0:00:00
TAL:A&T Capital:將全力配合有關單位展開對于雋的調查,并成立獨立調查組

A&TCapital官方賬號在社交媒體上發文表示:“于雋先生目前正面臨一些個人問題,這些問題正在接受調查。對于任何不道德或違法的行為,A&TCapital堅決采取零容忍態度.

1900/1/1 0:00:00
MEX:Bitget Research 每周要聞:LayerZero 融資引發刷空投熱潮,上海升級使 LSD 賽道跑贏大盤

作者:Bitget研究院過去一周,市場出現了不少新的熱門幣種和話題。1.市場焦點MarketTrends本周(?04.03-04.07)市場最關注的焦點話題為:LayerZero?融資引發交互熱.

1900/1/1 0:00:00
POOL:交易平臺激勵模式思考,流動性和交易行為哪個更值得激勵?

作者:MintVentures 引言 本篇內容來自于MintVentures小組的一次在線討論,當時我提出了兩個問題,我們的研究員Lawrence和投資經理Scarlett給出了自己的想法.

1900/1/1 0:00:00
ads