链捕手消息,据慢雾区情报,DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分发系统,在DAOMaker中进行持有者发行时因DAOMaker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。
慢雾:苹果发布可导致任意代码执行的严重漏洞提醒,请及时更新:7月11日消息,慢雾首席信息安全官23pds发推称,近日苹果发布严重漏洞提醒,官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行,据信这个已经存在被利用的情况,任意代码危害严重,请及时更新。[2023/7/11 10:47:05]
黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:
慢雾:近期出现新的流行恶意盗币软件Mystic Stealer,可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息,慢雾首席信息安全官@IM_23pds在社交媒体上发文表示,近期已出现新的加密货币盗窃软件Mystic Stealer,该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击,如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包,是目前最流行的恶意软件,请用户注意风险。[2023/6/20 21:49:05]
对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:
慢雾:iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息,慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析,首先用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了iCloud账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。
MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据,当iCloud账号密码等权限信息被恶意攻击者获取,攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。
慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]
1.Vesting合约中的init函数(函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。2.Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。
相关合约地址:
Vesting代理合约:0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167
Vesting实现合约:0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2
黑客地址:0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。