安全团队：NeorderDao项目的N3DR代币合约的owner地址疑似私钥泄露

5月11日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，NeorderDao项目的N3DR代币合约的owner地址疑似私钥泄露，累计被盗金额930个BNB。经成都链安技术团队分析，本次攻击原因是攻击者利用被盗的owner地址，给恶意地址添加Operator权限，再通过添加Operator权限的地址调用N3DR代币合约中的emergencilyTransfer函数，把0x1bBbbB0d79932047Fd29CdBB401B29b13306E090地址中的N3DR代币转移到攻击者地址，最后攻击者把获取到的N3DR代币通过pair交易兑换出930个BNB。

攻击交易：0xf039a71f2325560723a5bb956b3950de7bbc1646fb9cfb162983d21a89994113

攻击者地址：0xcd5bae758f0e576c49a1dd34f263090f76e763df

攻击者合约：0xa5be5a1570172e8b48783ad4e0bb2669491f35ce

其它快讯：

安全团队：ACC代币发生Rug Pull，损失达12万美元:6月6日消息，CertiK表示，经初步分析，ACC代币暴跌超70%，近期交易中有7笔被认定为可疑的Rug Pull，损失达12万美元。项目团队似乎拥有抛售代币的账户。

2022年4月12日，ACC代币部署器0x8045f108f39a3b4efa77b00d166a44479691902e铸造了7900,000枚ACC代币到0x8045f108f39a3b4efa77b00d166a44479691902e。

然后，该钱包在5月23日将395000枚ACC转移到0xb61eb71a492f47a5fd8e927081526abc2211f9ca。[2022/6/6 4:05:21]

安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制:4月25日消息，Cobo区块链安全团队就Flurry Finance攻击事件进行了分析，发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同，而是利用了Flurry Finance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据（Bank中的token数量）。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵，进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用Rabbit Finance的StrategyLiquidate合约来执行任意代码的技巧，但这个技巧涉及到的合约代码本身其实并不存在安全问题。Cobo区块链安全团队提醒，开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。

此前消息，2月22日，BSC链上的Flurry Finance遭到闪电贷攻击，导致协议中Vault合约中价值数十万美元的资产被盗。[2022/4/25 14:46:47]

分析 | 慢雾安全团队提醒｜EOS假账号安全风险预警:根据IMEOS报道，EOS 假账号安全风险预警，慢雾安全团队提醒：

如果 EOS 钱包开发者没对节点确认进行严格判断，比如应该至少判断 15 个确认节点才能告诉用户账号创建成功，那么就可能出现假账号攻击。

攻击示意如下：

1. 用户使用某款 EOS 钱包注册账号（比如 aaaabbbbcccc），钱包提示注册成功，但由于判断不严格，这个账号本质是还没注册成功

2. 用户立即拿这个账号去某交易所做提现操作

3. 如果这个过程任意环节作恶，都可能再抢注 aaaabbbbcccc 这个账号，导致用户提现到一个已经不是自己账号的账号里

防御建议：轮询节点，返回不可逆区块信息再提示成功，具体技术过程如下：

1. push_transaction 后会得到 trx_id

2. 请求接口 POST /v1/history/get_transaction

3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]

相关资讯