鏈捕手消息,據慢霧區情報,DAOMaker的Vesting合約遭到黑客攻擊。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分發系統,在DAOMaker中進行持有者發行時因DAOMaker合約被攻擊,即SHO參與者的分發系統中出現了一個漏洞:init未初始化保護,攻擊者初始化了init的關鍵參數,同時變更了owner,然后通過emergencyExit將目標代幣盜走,并兌換成了DAI,攻擊者最終獲利近400萬美金。
慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]
黑客利用Vesting合約中的漏洞,將Vesting合約中的代幣提走,如下是簡要分析:
慢霧:過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息,據慢霧發推稱,過去一周Web3生態系統因安全事件損失約2400萬美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital,總計23,795,800美元。[2023/6/19 21:46:18]
對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息:
慢霧:近期出現假冒UniSat的釣魚網站,請勿交互:5月13日消息,慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示,近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現,經慢霧分析,假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征,或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站,請用戶注意風險,謹慎辨別。[2023/5/13 15:01:11]
1.Vesting合約中的init函數(函數簽名:0x84304ad7),沒有對調用者進行鑒權,黑客通過執行init函數成為Vesting合約的Owner。2.Owner可以執行Vesting合約中的emergencyExit函數,進行緊急提款。
相關合約地址:
Vesting代理合約:0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167
Vesting實現合約:0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2
黑客地址:0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同樣的手法其攻擊其他Vesting合約,轉移如下代幣:DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f
撰文:Groot 2021年初DeFi的火爆余熱未消,NFT以及新公鏈又順利接棒,推動加密貨幣市場這波歷史級的牛市迎來了新一輪的高潮.
1900/1/1 0:00:00我們今天就來講一下“元宇宙”的史前史。雖然這一次關于元宇宙的熱潮可能會非常多的討論是關于交易的部分,比如說虛擬物品上鏈這樣的事情,但是這一次我對我來說,我認為大家在討論元宇宙或者虛擬世界里的東西.
1900/1/1 0:00:00原文標題:《在這個時代,你的情緒很有價值》撰文:ArthurHayes,BitMEX創始人編譯:律動研究院歸屬感、參與感、幸福感、成就感等等,這些情緒價值自古被人們認為是披著神秘面紗的「玄學」.
1900/1/1 0:00:00作者:RichardLee全球反洗錢監管機構金融行動特別工作組于10月28日發布更新版的虛擬資產監管指南,囊括了對NFT、DeFi、穩定幣及P2P交易的監管意見.
1900/1/1 0:00:00作者:RichardLee昨日,比特幣礦企GenesisDigitalAssets宣布完成4.31億美元戰略融資,該輪融資由Paradigm領投.
1900/1/1 0:00:00作者:msfew,ForesightVentures StarkWare簡介 StarkWare主要解決了區塊鏈的可擴展性和隱私.
1900/1/1 0:00:00