据欧科云链消息,今日8时04分,BSC链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。欧科云链链上天眼初步分析:1、攻击者资金来自PancakeSwap的闪电贷;2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法,该方法未校验代币数组参数addressmemory_tokens是否和pid参数指向的LP相吻合,在涉及到LP数额变化时,也未加重入锁。
黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado:今日8时04分(HKT),BSC链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。据欧科云链链上天眼初步分析:
1、攻击者资金来自PancakeSwap的闪电贷;
2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法,该方法未校验代币数组参数address memory _tokens是否和pid参数指向的LP相吻合,在涉及到LP数额变化时,也未加重入锁。
目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01 BNB(约112.58万美元),另有235.45 ETH(约60.86万美元)通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金(230 ETH)已流入Tornado Cash。
该事件提醒我们,在涉及到金额变动的合约方法中,一定要关注重入漏洞,尽量使用重入锁modifier。
链上天眼团队已对相关地址进行了监控,并将进一步跟进事件进展。[2022/3/13 13:54:09]
目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01BNB,另有235.45ETH通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金已流入TornadoCash。
The Block新闻负责人:OpenSea未出现漏洞,黑客利用钓鱼邮件发起攻击:2月20日消息,据The Block新闻负责人 Frank Chaparro 转发 Cyphr.ETH 推文称,黑客使用了标准网络钓鱼电子邮件复制了几天前发生的正版 OpenSea电子邮件,然后让一些用户使用 WyvernExchange 签署权限。OpenSea 未出现漏洞,只是人们没有像往常一样阅读签名权限。
今日有消息称,多位用户发现 OpenSea 昨日推出的新迁移合约疑似出现 Bug,攻击者正利用该 Bug 窃取大量 NFT 并卖出套利,失窃 NFT 涵盖 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值系列。
OpenSea 官方随后作出回应,「我们正在积极调查与 OpenSea 智能合同有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击opensea.io 之外的任何链接。[2022/2/20 10:03:29]
黑客利用虚假的新型冠状病地图传播恶意软件:在线安全研究人员警告,黑客发现了另一种利用新型冠状病爆发的方法——通过恶意新型冠状病地图感染人们。许多组织已经创建新型冠状病地图来跟踪病及其传播,许多人依靠它们来跟踪最新的感染数字。来自Reason Labs的Shai Alfasi最近报告称,黑客正在制作此类地图和仪表盘的假版本,以窃取信息。他们需要的数据包括密码和用户名、信用卡号码以及他们可以收集的任何其他敏感数据。虽然真正的地图在用户进入网站时就能提供信息,但这些假地图需要用户下载一个应用程序,帮助他们跟踪新的进展。但是,即使用户不安装应用程序,也可能受到感染。据目前所知,这些恶意软件似乎只会影响Windows设备,不过专家认为,其他系统也会受到感染只是时间问题。同时,Alfasi表示,假的新型冠状病地图使用恶意软件AZORult感染用户的设备。他补充说,该恶意软件激活了其他恶意软件。它就像一个信息窃贼,从2016年就开始存在了。除了窃取敏感数据外,它还可以在受感染的设备上安装其他恶意软件。他还指出,这些恶意软件在俄罗斯地下网络论坛中最为常见。(Beincrypto)[2020/3/18]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。