金色财经报道,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元的各种资产,慢雾安全团队分析后发现如下信息:
Wintermute被盗智能合约:0x00000000ae347930bd1e7b0f35588b92280f9e75, Wintermute被盗EOA钱包:0x0000000fe6a514a32abdcdfcc076c85243de899b,攻击者地址:0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705,攻击者智能合约:0x0248f752802b2cfb4373cc0c3bc3964429385c26。
被盗原因可能是Wintermute被盗EOA钱包是使用Profanity来创建的靓号钱包(开头0x0000000),此前去中心化交易所聚合器 1inch 发布了一份安全披露报告,声称通过名为 Profanity 的工具创建的某些以太坊地址存在严重漏洞。
其它快讯:
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
安全团队:Arcade项目Discord服务器已被入侵:金色财经消息,安全团队CertiK表示,Arcade项目Discord服务器已被入侵。请社区用户不要点击、铸造或批准任何交易。[2022/9/19 7:05:03]
分析 | 慢雾安全团队提醒|EOS假账号安全风险预警:根据IMEOS报道,EOS 假账号安全风险预警,慢雾安全团队提醒:
如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功
2. 用户立即拿这个账号去某交易所做提现操作
3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里
防御建议:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:
1. push_transaction 后会得到 trx_id
2. 请求接口 POST /v1/history/get_transaction
3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]
金色财经报道,Whale Alert监测数据显示,68,563,603 枚USDT从Binance转移到未知钱包。 其它快讯: 数据:Tether官方9月共冻结价值约108万USDT:9月29日消息,...
区块链:2022/9/20 7:08:249月21日消息,加密货币借贷平台Voyager无担保债权人官方委员会的推特账户(@VoyagerUCC)此前被暂停,现发推称已重新上线,称该账户在上诉中被关闭,拍卖会休会一天,明天将再次开始。 该账户在Vo...
区块链:2022/9/21 7:10:35金色财经报道,根据加拿大地方新闻倡议组织的一份报告,来自 Kahnawake 的莫霍克族成员正在研究使用 Hydro Quebec 的电力来为加密货币挖矿业务提供动力。Kahnawake 的莫霍克委员会 (MCK) ...
区块链:2022/9/19 7:05:569月19日消息,Web3 工程、研究及投资公司 Three Sigma 在 Twitter 上表示,已获得 StarkWare Grant 支持来开发基础设施来简化基于 StarkNet 的开发流程。首个产品将是用于...
区块链:2022/9/19 7:06:229月19日消息,NFT交易市场Zora推出Creator Toolkit白名单功能,用户选择对应的钱包地址,就可让某些社区成员从其个人收藏进行早期Mint,且插入地址时可选择手动输入或通过CSV上传。 其它快...
区块链:2022/9/19 7:04:589月16日消息,加密分析平台Santiment公布的数据显示,以太坊合并后,由两个地址运行超过45%的以太坊PoS节点。两个地址已经验证293个区块,占所有区块的45.18%。第一个地址已经验证188个区块,占28....
区块链:2022/9/16 7:01:049月19日消息,根据研究公司Blockdata对2021年9月至2022年6月中旬期间40家顶级公司对区块链和加密初创公司的投资的分析,韩国电子巨头三星是最活跃的,投资了13家公司。投资了7家公司的大华银行紧随其后,...
区块链:2022/9/19 7:06:11金色财经报道,据WhaleAlert数据显示,94,131,053 枚USDT 从币安转入未知钱包。 其它快讯: Facebook, Instagram, Whatsapp以及全球其他一些网站出现网页...
区块链:2022/9/19 7:06:099月20日消息,摩根大通全球支付主管Takis Georgakopoulos表示,把加密货币用作支付工具的需求在过去六个月大幅下降,但摩根大通仍支持希望使用该支付方式的客户。不到一年,加密货币市值就蒸发了约2万亿美元...
区块链:2022/9/20 7:08:009月20日消息,在由万向区块链实验室主办的第八届区块链全球峰会上,Dfinity基金会创始人兼首席科学家Dominic Williams发表主题为《首个真正的世界计算机-互联网计算机区块链》的演讲。 Dom...
区块链:2022/9/20 7:08:13金色财经报道,BSV比特币协会启动其区块链创新计划,这是一个为期 10 周的课程,旨在鼓励人们成为比特币开发者。 BSV 学院正在向任何有兴趣将其纳入其教育工具集的合作伙伴提供此区块链创新计划。其中一个合作伙伴是乌干...
区块链:2022/9/21 7:09:549月20日消息,在过去的四个月里,加密货币钱包提供商Pouch一直在积极推动岛上比特币支付业务。Pouch副总裁Bill Mill表示,到目前为止,已与长滩岛约有120家商户签约,允许用户使用比特币付款。Bill M...
区块链:2022/9/20 7:08:03
链资讯