成都链安链必应-区块链安全态势感知平台舆情监测显示,跨链通讯协议Nomad遭遇攻击,成都链安安全团队现将解析结果分享如下,通过被攻击合约(0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3)的转账交易看到,许多地址都进行了攻击。通过找到一笔相关交易,可以到看到攻击者利用了合约中的process函数进行提取。
安全团队:不法分子通过短信发送imToken虚假网址、钓鱼链接进行非法操作:金色财经报道,Fairyproof监测发现,近期有不法分子通过短信发送imToken虚假网址、钓鱼链接进行非法操作,盗取用户资金。Fairyproof强烈建议用户不要点击未知链接,不要输入地址的助记词或私钥,或其他隐私信息,必要时通过官方渠道进行咨询或验证,以免造成资金损失。[2023/1/13 11:10:25]
在process函数中,可以看到合约对_messageHash进行了判断,而输入的messages为0x000000....时,相当于任何未使用的hash,都可以判断通过。然后跟进acceptableRoot函数,因为_root设置为零(0x000000....),而confirmAt等于1,导致判断恒成立,攻击者就能提取资金。
安全团队:BSC链上RSHIB项目发生Rug Pull,代币价格暴跌92%:8月25日消息,安全团队CertiK预警监测显示,BSC链上RSHIB项目发生Rug Pull,RSHIB代币价格暴跌92%。合约部署者移除流动性并向外部账户(EOA)地址发送约47枚BNB。该项目的推特帐户也已被删除。[2022/8/25 12:47:44]
此前消息,此前消息,Nomad遭遇黑客攻击,其代币桥内的1.9亿美元资金几乎全部耗尽。
安全团队:Acala项目方对aUSD池子的奖励倍率进行了修改,导致池子的奖励被放大:8月14日消息,波卡生态项目Acala因链上设置错误,导致aUSD增发。以下是慢雾安全团队分析:
1. 项目方在2022-08-13 22:23:12 (+UTC)调用了 update_dex_saving_rewards 对 aUSD 池子的奖励倍率进行了修改,修改为500000000000000000。
2. 在区块的 hook 函数 on_initialize 中会去调用 accumulate_dex_saving 函数,在函数中池子的奖励总量是由 dex_saving_reward_rate 乘上 dex_saving_reward_base,由于 dex_saving_reward_rate 在上一步中已经被放大了导致池子的奖励也被放大。
3. 最后用户领取到了错误的奖励。[2022/8/14 12:24:52]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。