安全公司CertiKAlert在推特上表示,稳定币交易项目Platypus在AAVE上遭遇闪电贷攻击,导致总价值约900万美元的资产损失。此时,大部分被盗资金仍留在攻击者的合约地址中,部分资金被发送到EOA和AAVE池中。
CertiK分析称,漏洞似乎在于emergencyWithdraw函数对MasterPlatypusV4合约的验证,只有在借入资产超过借入限额时才会失败。然后该函数继续转移所有用户的存款资产,而不考虑用户借入的资产价值。具体过程如下:1.攻击者将4400万枚USDC存入PlatypusUSDC资产并获得4400万枚LP-USD。攻击者随后将LP-USD存入MasterPlatypusV4。2.攻击者调用函数borrow()在合约platyputreasure中铸造约4179万枚USP。这是借款限额所允许的最高金额,该限额为用户抵押品的95%。3.因为攻击者没有借入超过95%的上限,isSolvent值返回为“true”,这使得攻击者能够调用EmergencyWithdraw函数和全部4400万枚LP-USDC。4.攻击者随后从PlatypusUSDC资产(LP-USDC)中提取了4400万枚USDC,并开始通过PlatypusFinance池将USP换成多种资产。偿还闪电贷后,Platypus平台的总损失约为900万美元。
安全公司:BNB Chain上NFT游戏ZOO Crypto World的NFT存在对敲交易:金色财经消息,BlockSec发推称,检测发现BNB Chain上NFT游戏ZOO Crypto World的NFT存在对敲交易(WashTrade),请投资者注意风险。[2022/4/20 14:36:23]
Platypus就此事在官方电报群中发布公告称:“我们目前正在努力评估情况,并将就此及时进行沟通。目前,所有行动都已暂停,直到情况更加明朗。”数据显示,Platypus项目的原生稳定币USP已脱锚至0.4785美元。
区块链安全公司CertiK正式开源CertiKChain:CertiK基金会宣布现已正式开源CertiKChain。目前已开放使用的产品包括CertiKChain、去中心化CertiK安全预言机、用于编写安全智能合约的安全编程语言和编译器工具链DeepSEA工具链。据此前报道,9月7日,CertiK发布基于CertiK链的去中心化安全预言机,旨在有效减少链上交易与实时安全检测之间的距离,致力于运用去中心化的方法来解决安全难点。[2020/9/17]
动态 | 网络安全公司在Make-A-Wish基金会网站上检测到加密恶意软件:据cointelegraph消息,近日,网络安全公司Trustwave发布的一份报告称,黑客已经通过加密劫持恶意软件感染了全球非营利组织Make-A-Wish基金会的网站。据Trustwave研究人员称,加密恶意软件设法将一个JavaScript(JS)矿工CoinImp纳入域名worldwish.org,以便非法挖掘以隐私为特点的加密货币 Monero(XMR)。与臭名昭着的Monero采矿软件CoinHive类似,CoinIMP据报道利用网站访问者的计算能力挖掘加密货币。
根据该报告,CoinImp脚本通过drupalupdates.tk域感染了该网站,该域与另一个自2018年5月以来利用关键Drupal漏洞破坏网站的广告系列相关联。研究人员指出,最近检测到的活动部署了许多技术来逃避检测,包括改变其已经混淆的域名,以及WebSocket代理中的不同域和IP 。Trustwave联系了Make-A-Wish以报告加密劫持攻击,但基金会没有回应。在Trustwave试图访问基金会后不久,恶意注入的脚本被删除。[2018/11/21]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。