安全公司慢雾对去中心化年金协议PunkProtocol遭遇攻击的原理进行了解析。攻击者首先调用CompoundModel合约的Initialize函数进行重复初始化操作将合约Forge角色设置为攻击者指定的地址。随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中以取得抵押凭证cToken。最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取对应的底层资产并最终将其转给Forge角色。withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
安全公司Dedaub建议利用Verkle树降低gas费用遭Curve Finance反对:金色财经报道,安全公司Dedaub在社交媒体发文建议以太坊应该使用更具优势的Verkle树来降低gas费用,与Merkle-Patricia不同,Verkle树可以启用加密安全轻客户端,并且能够支持“状态见证”最小化数据传输,如果状态访问成本被充分计量且对应于“状态见证”的大小,无状态客户端网络就不会受到DoS攻击。对此,DeFi协议Curve Finance认为该建议“绝对有害”且会“杀死主网上的DeFi”,并表示希望进一步沟通以探索其他解决方案。[2023/2/26 12:30:16]
安全公司Least Authority披露Atomic Wallet存在安全漏洞,警告用户注意风险:2月10日消息,安全审计公司Least Authority发布报告称,加密钱包Atomic Wallet存在安全漏洞,提醒其用户注意使用风险。
Least Authority于2021年初首次受聘检查Atomic的系统设计及其相应的核心、桌面和移动编码实现。该报告于2021年4月提交给Atomic,得出的结论是存在使用户面临“重大风险”的漏洞和不足。 Atomic在2021年11月发送一份回复,指出了他们的更新和改进。然而,在检查Atomic的修复提交后,Least发现大量问题和建议仍未解决。
根据审计准则和披露政策,现在Least Authority正式向用户发布警告,以警示风险。(CoinDesk)[2022/2/11 9:43:55]
动态 | 数据安全公司宣布正式进入Ripple XRP Ledger生态系统唯一节点列表:据消息报道,数据安全和隐私公司Data443昨日宣布,它们已正式添加到Ripple(XRP) Ledger生态系统的唯一节点列表(UNL)中。UNL是10个组织的列表,这些组织被给予验证节点以获得有关XRP Ledger中的可靠信息。[2018/9/7]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。