慢雾安全团队对今日DEUSFinanceDAO遭受的闪电贷攻击原理进行了分析:1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
安全公司:以太坊链上的Nostr代币疑似非官方创建,存在安全风险:金色财经报道,安全公司Fairyproof发布风险提示,以太坊链上的Nostr代币疑似非官方创建。Nostr 代币地址0xA2be922174605BAd450775C76CEb632369480336。Nostr 的部署者(0xC013Ef7bE164aAcD503A3FEe686f9aBE7988425c)疑似一个连续代币部署。(0xC013Ef7bE164aAcD503A3FEe686f9aBE7988425c) 的资金来源是0xad2Dc2a4f3287783b220DbDcC7AfB7F6EB0704b8。0xad2Dc2a4f3287783b220DbDcC7AfB7F6EB0704b8 曾经在3天前部署了 Damus 代币,并向eth上其他地址空投, 然后过了一段时间后, Damus撤走流动性, 疑似跑路。 在7天前部署的Ω (Ω) 代币也采用类似手法已经跑路。在之前追踪跟这些代币部署者关联地址, 都是采用类似手法进行疑似欺诈行为。
Nostr的合约代码也存在一些安全隐患, 合约管理员可以阻止用户在指定 uniswap 交易对上卖出代币。也可以将用户加入黑名单,还可以随意销毁其他用户代币。[2023/2/6 11:49:48]
本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考AlphaFinance关于获取公平LP价格的方法。
前BitGo、Curv高管推出新的加密钱包安全公司Fordefi:11月5日消息,前BitGo、Curv高管Josh Schwartz推出新的加密钱包安全公司Fordefi,Fordefi提供了一个允许机构参与各种链的钱包平台。
Fordefi表示,使用安全的多方计算 (MPC) 以一种更难以妥协的方式分配用户的私钥,它将允许用户自动化他们与区块链和智能合约的互动。Fordefi的25人团队位于以色列和纽约,其中包括Michael Volfman和Dima Kogan。该公司聘请了斯坦福大学的加密货币教授Dan Boneh和前Curv首席执行官Itay Malinger作为顾问。(The Block)[2022/11/5 12:18:25]
此前消息,DEUSFinance遭到闪电贷攻击,损失约1700万美元,攻击者钱包已将5446枚ETH分批转入TornadoCash。
网络安全公司ESET发现伪装成加密货币钱包的多款木马应用程序:3月30日消息,网络安全公司ESET研究发现一个“复杂的恶意软件方案”,该方案传播伪装成热门加密货币钱包的木马应用程序。该恶意软件方案的目标是使用安卓或iOS操作系统的移动设备,如果用户下载一个假冒的应用程序,这些设备就会受到威胁。
根据ESET的研究,这些恶意应用程序通过虚假网站分发,并模仿合法的加密钱包,包括MetaMask、Coinbase、Trust Wallet、TokenPocket、Bitpie、imToken和OneKey。
该公司还发现13个假冒Jaxx Liberty钱包的恶意应用程序,可在Google Play Store上获得。谷歌已经移除这些被安装1100多次的违规应用,但在其他网站和社交媒体平台上仍有更多的此类应用。
恶意行为者通过Facebook和Telegram上的社交媒体群组传播其产品,意图从受害者那里窃取加密资产。ESET声称已经发现“数十个木马化加密应用程序”,自2021年5月开始出现。它还表示,该计划主要通过中国网站针对中国用户,它认为这是一个犯罪团体的行为。(Cointelegraph)[2022/3/30 14:26:29]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。