慢雾:Neko 被盗资产被换成 6390 枚 BNB,黑客退还 2871 枚 BNB,其余持续打向 Tornado 混币

链闻消息,区块链安全团队慢雾表示,经链上信息分析,目前已知NekoNetwork攻击者获得200万USDT、39万BUSD和1BTCB,攻击者已经利用Pancake将盗取资产换得6390枚BNB,其中2871枚BNB退还给NekoNetwork团队地址。扣除退回的资金,黑客获利3519枚BNB。黑客持续以一次100枚BNB的规模转至TornadoCash混币。截止发稿时,黑客地址还剩2020枚BNB。链闻早先报道,NekoNetwork遭受攻击,攻击者利用协议漏洞以用户名义抵押资产,并将借得资金直接发送至攻击者自己的地址,NekoNetwork所有资产池已冻结以避免更多攻击发生,由于时间锁的设定,需等待24小时才能开发资金池,让用户提出池内资金。NekoNetwork是由零息货币市场协议MazeProtocol团队开发的产品。

慢雾:共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息,慢雾首席信息安全官23pds发推表示,针对共享Apple ID导致资产被盗现象,核心问题是应用没有和设备码绑定,目前99%的钱包、交易App等都都存在此类问题,没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行,攻击者在配合其他手法如社工、爆破等获取的密码,导致资产被盗。23pds提醒用户不要使用共享Apple ID等,同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。

当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]

慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息,2月14日,BSC链上的Titano Finance项目遭受攻击,损失约190万美元,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

SANDZT创新板即将上线MIST

亲爱的ZT用户: ZT创新板即将上线MIST,并开启MIST/USDT交易对。具体上线时间如下:充值:已开启;交易:2021年8月16日17:30?; MIST ZT创新板上线GTC:据官网公告,ZT创新板已经上线GTC,已经开启GT.

[0:15ms0-1:586ms