安全团队:ShadowFi未定义合理访问控制,遭攻击者利用

据官方消息,9月2日,HyperLab安全团队在BSC链上检测到ShadowFiToken贬值事件。攻击者将10,354,936.721195451SDFtoken销毁,随后将8.461538282SDF换成约合$30万BNB资产。团队分析称,从交易细节可得,攻击者在交易中调用burnTokens()函数烧掉了SDF,而ShadowFi合约没有实现权限验证函数onlyOwner,设置burnTokens为public,导致被攻击者利用,将代币全部销毁。项目方对于burn()这类函数,没有定义合理的访问控制,导致任意用户都能调用这个合约,从而造成不必要的损失。据悉,Hyperlab围绕数字钱包这一核心产品及其周边服务,针对热钱包安全、冷钱包安全、钱包服务器安全,以及钱包使用者安全等议题开展研究工作,为用户和企业提供安全解决方案和服务。

安全团队:SOL Decoder项目Discord服务器遭攻击:9月28日消息,据CertiK监测,SOL Decoder项目Discord服务器遭攻击。请社区用户不要点击链接、铸造或批准任何交易。[2022/9/28 5:57:07]

声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]

慢雾安全团队发布 BEC智能合约无限转币漏洞分析及预警:据了解,4月22日13时左右,BEC出现异常交易。慢雾安全团队第一时间分析发现,BEC智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量转账函数存在漏洞,攻击者可传入很大的value数值,使cnt*value后超过unit256的最大值使其溢出导致amount变为0。

通过此次分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额amount是否大于0,及在for循环内执行balances[msg.sender].sub(value)操作。

这类漏洞属于不可逆的破坏型漏洞,慢雾安全团队建议其他智能合约发布方及时自查。[2018/4/23]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

火币APPForesight Ventures市场周报:市场多空博弈,meme币崛起

宏观流动性 货币流动性整体紧缩。美联储高官传递鹰派发言,声称明年早些时候加息至4%以上,明年降息无望。美元指数徘徊20年新高。每次美国经济衰退,市场泡沫破灭,都是美联储加息导致,无一例外。美股指数8月共跌4%,加密市场跟随美股调整.

火必APP欧易Web3钱包关于以太坊合并升级的处理方案

尊敬的欧易用户:?根据以太坊基金会公告,预计以太坊合并将发生在2022年09月15日(HKT)。届时以太坊工作量证明(PoW)链将停止运行,执行层并入采用权益证明(ProofofStake)的以太坊网络,完成以太坊合并计划.

[0:0ms0-1:289ms