据成都链安链必应-区块链安全态势感知平台舆情监测显示,VisorFinance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了VisorFinance项目抵押挖矿合约RewardsHypervisor的两个漏洞:
仙人掌CTS智能合约已通过Beosin(成都链安)安全审计:据官方消息,Beosin(成都链安)近日已完成仙人掌CTS智能合约项目的安全审计服务。
?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链,同时包含去中心化稳定数字货币,去中心化预言机,去中心化保险,流动性挖矿,智能挖矿等等功能的创新和聚合,进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募,社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。
合约地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s
审计报告编号:202009262149[2020/9/28]
1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<-主要漏洞,造成本次攻击的根本原因。
动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商(VASP)监测交易风险、执行反合规程序,帮助监管部门监督VASP合规流程执行情况,帮助执法部门快速收集虚拟资产犯罪案件证据,为受害者提供技术协助,成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务,受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后,可在网站提交相关信息,平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统,采集链上交易数据,分析加密货币犯罪和安全事件,结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]
2.函数未做防重入攻击;<-次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。
声音 | 成都链安创始人:区块链领域存在六大安全漏洞,全球共损失90亿美元:在2019上海区块链国际周现场,成都链安科技有限公司创始人、电子科技大学副教授杨霞详细分析了行业的六大安全问题。即系统漏洞引起的损失、用户使用不当引起的问题、网络犯罪、暗网黑市交易、,盘和资金盘。根据数据来看,系统漏洞引起的损失,今年以来,由区块链漏洞引起的损失高达30多亿美元。从2011年到2018年损失高达90多亿美元。(华夏时报)[2019/9/17]
针对这两个问题,成都链安建议项目方应做好下面两方面:
1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;
2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。
此前消息称,流动性管理协议VisorFinance遭黑客攻击,损失约820万美元。BentFinance官方表示,攻击者盗取51.3万cvxcrvLP代币,建议所有用户现在撤回其MIMLP。Bent上的cvxcrv和mimCurve池是受影响的池,已禁用cvxcrv和mim池的奖励申领。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。