AgoraDeFi称,StarstreamFinance受Starstream的distributortreasury合约漏洞影响,AgoraDeFi中的价值约820万美元的资产被借出。
安全公司:NFT项目方 Akutar项目存在两个漏洞,导致项目方3400 万美元被永久锁定:金色财经消息,4月23日消息,BlockSec发推表示,经过分析后发现,该项目存在两个漏洞。第一个漏洞是在ProcessRefunds的时候,攻击者可以利用恶意合约对项目进行拒绝服务,所有用户的退款都会被拒绝。幸运的是这个漏洞没有被利用。第二个漏洞是在项目方取款的时候,由于一个变量名写错,导致项目方取款的条件永远不会满足,而该合约是不可以升级合约,因此项目方价值3400万美金的资金被永远锁定。[2022/4/23 14:43:44]
慢雾安全团队对此进行了分析。1.在Starstream的StarstreamTreasury合约中存在withdrawTokens函数,此函数只能由owner调用以取出合约中储备的资金。而在4月7日23:58:24,StarstreamTreasury合约的owner被转移至新的DistributorTreasury合约(0x6f...25)。2.新的DistributorTreasury合约中存在execute函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用StarstreamTreasury合约中的withdrawTokens函数取出合约中储备的532,571,155.859枚STARS。3.攻击者将STARS抵押至AgoraDeFi中,并借出大量资金。一部分借出的资金被用于拉高市场上STARS的价格以便借出更多资金。
安全公司:恶意npm包试图窃取Discord令牌:12月10日消息,DevOps安全公司JFrog在npm(Node.js包管理器)存储库中发现17个新的恶意软件包,这些软件包故意试图攻击和窃取用户的Discord令牌。JFrog安全研究高级主管Shachar Menashe和Andrey Polkovnychenko解释说,劫持用户的Discord令牌(用户凭据)使攻击者能够完全控制用户的账户。
Menashe表示,“如果执行得当,这种类型的攻击会产生严重的影响,在这种情况下,公共黑客工具使这种攻击变得足够容易,即使是新手黑客也可以执行。我们建议各组织采取预防措施并管理其使用npm进行软件管理,以降低将恶意代码引入其应用程序的风险。”
两人解释说,这些软件包的有效负载各不相同,从信息窃取者到完全远程访问后门。他们补充说,这些软件包有不同的感染策略,包括键入错误、依赖性混淆和特洛伊木马功能。这些软件包已经从npm存储库中删除,JFrog安全研究团队表示,它们“在获得大量下载之前”就被删除了。
JFrog指出,由于Discord平台是一款流行的视频/语音/文本聊天应用程序,目前已拥有超过3.5亿注册用户,因此旨在窃取Discord令牌的恶意软件有所增加。(ZDNet)[2021/12/10 7:31:29]
分析 | 安全公司:主流可交易Token均存在一定安全隐患:据“PeckShield安全评级”公开数据显示:通过对350个市值靠前的可交易Token进行安全分析,发现被审计Token全部存在一定程度的安全隐患,其中存在高危漏洞的Token占比13.7%,总市值高达12亿美元;存在中危漏洞的Token占比30%,也可能被黑客利用攻击;56%以上的Token仅存在低危漏洞,安全性相对较好,但不排除有潜在风险。值得一提的是,审计涉及的各大主流交易所均存在一批高危Token尚处于可交易状态。[2018/8/19]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。