據慢霧安全團隊監測,ETH鏈上的brahTOPG項目遭到攻擊,攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下:
1.攻擊者首先查詢了受害用戶0x392472的余額,接著調用了Zapper合約的zapIn函數。
Facebook計劃最早在明年一月以有限形式發行加密貨幣Libra:根據參與Facebook數字貨幣Libra計劃三名消息人士透露,Libra最早在2021年1月推出,但是相關功能可能會受到限制。其中一位知情人士表示,Libra協會最初只會發行與美元掛鉤的單一錨定幣Libra,與其他法定貨幣掛鉤的Libra將在稍后推出。這三位消息人士還稱,Libra推出確切時間取決于該項目何時獲得瑞士金融市場監督管理局批準,否則Libra無法作為一項支付服務在市場運營。此前有消息稱瑞士金融市場監督管理局最早將于2021年5月評估Libra申請,但從現在來看,這一時間有可能提前到2020年1月,本文撰寫時瑞士金融市場監督管理局尚未就此事發表評論。(英國金融時報)[2020/11/27 22:19:10]
2.首先函數會為合約轉賬requiredToken參數所指定的代幣,由于該函數傳入的參數是外部可控的,所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。
聽證會 | 扎克伯格:在美國各方監管批準前 Libra不會發行:金色財經直播報道,在今日聽證會上,扎克伯格表示,在完全獲得美國各方監管批準前,Libra不會在世界任何國家和地區發行。[2019/10/23]
3.接著會調用內部函數zap,在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值,由于第二步的操作所以通過了該檢查。
聲音 | 法國央行第一副行長:Libra所帶來的風險必須在其正式推出前予以解決:法國央行(Bank of France)第一副行長Denis Beau10月15日表示,Facebook旗下的加密貨幣Libra的廣泛使用充滿危險。如果該計劃得以實施,將在金融穩定和貨幣政策等方面引發許多問題,其帶來的風險必須在正式推出前予以解決。(路透社)[2019/10/16]
4.之后會外部調用假代幣合約的approve函數,該函數為攻擊者惡意構造,是為了給Zapper合約轉賬frax代幣,此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。
5.最后外部調用了swapTarget參數所指定的合約,并且調用所傳入參數也是外部可構造的,所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。
6.攻擊者重復以上步驟,總共攻擊了三次,轉移了三個受害者賬戶下的USDC代幣約889,343枚。
此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題,攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。
慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。
據BeosinEagleEye安全預警與監控平臺監測顯示,2022年10月,各類安全事件數量和涉及金額較9月大幅上升.
1900/1/1 0:00:00DeFi專家AndreCronje的博客發表由MeganDyamond撰寫的“TheCryptoWinterof2022”,文章分析了幾大沖擊事件的原因和影響,文章表示.
1900/1/1 0:00:00首個#Web3inHK線下活動將于今晚在香港ArcadiaRestaurant&Bar隆重舉辦.
1900/1/1 0:00:00據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,2022年11月,各類安全事件數量和涉及金額較10月有所下降.
1900/1/1 0:00:00BitMEX聯合創始人ArthurHayes在推特上表示,如果加密行業中最富有的人趙長鵬不能做這筆交易,沒有人可以做這筆交易。FTX客戶的存款只能在破產法庭上恢復,這需要很多年才能解決.
1900/1/1 0:00:00新加坡國有投資者淡馬錫今日發布關于FTX的聲明,解釋了其投資FTX的背景,其投資FTX的目的是投資于領先的數字資產交易所,為其提供與協議無關和市場中立的加密貨幣市場風險敞口,采用費用收入模式.
1900/1/1 0:00:00