慢雾:NimbusPlatform被黑主要在于计算奖励时仅取决于池子中的代币数量导致被闪电贷操控

据慢雾安全团队情报,2022年12月14日,BSC链上的NimbusPlatform项目遭到攻击,攻击者获利约278枚BNB。慢雾安全团队以简讯的形式分享如下:1.攻击者首先在8天前执行了一笔交易,把20枚BNB换成NBU_WBNB再换成GNIMB代币,然后把GNIMB代币转入Staking合约作质押,为攻击作准备;2.在8天后正式发起攻击交易,首先通过闪电贷借出75477枚BNB并换成NBU_WBNB,然后再用这些NBU_WBNB代币将池子里的绝大部分NIMB代币兑换出;3.接着调用Staking合约的getReward函数进行奖励的提取,奖励的计算是和rate的值正相关的,而rate的值则取决于池子中NIMB代币和GNIMB代币的价格,由于NIMB代币的价格是根据上一步闪电贷中被操控的池子中的代币数量来计算的,导致其由于闪电贷兑换出大量的代币而变高,最后计算的奖励也会更多;4.攻击者最后将最后获得的GNIMB代币和拥有的NIMB代币换成NBU_WBNB代币后再换成BNB,归还闪电贷获利;此次攻击的主要原因在于计算奖励的时候仅取决于池子中的代币数量导致被闪电贷操控,从而获取比预期更多的奖励。慢雾安全团队建议在进行代币奖计算时应确保价格来源的安全性。

慢雾:Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报,2022年1月18日,bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示,此次攻击是由于setTrustedForwarder函数未做权限限制,且在获取调用者地址的函数_msg.sender()中,写了一个特殊的判断,导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]

慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

声音 | 慢雾:99%以上的勒索病使用BTC进行交易:据慢雾消息,勒索病已经成为全球最大的安全威胁之一,99%以上的勒索病使用BTC进行交易,到目前为止BTC的价格已经涨到了一万多美元,最近一两年针对企业的勒索病攻击也越来越多,根据Malwarebytes统计的数据,全球TO B的勒索病攻击,从2018年6月以来已经增加了363%,同时BTC的价格也直线上涨,黑客现在看准了数字货币市场,主要通过以下几个方式对数字货币进行攻击:

1.通过勒索病进行攻击,直接勒索BTC。

2.通过恶意程序,盗取受害者数字货币钱包。

3.通过数字货币网站漏洞进行攻击,盗取数字货币。[2019/8/25]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

[0:15ms0-1:63ms