金色财经报道,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,2023年4月9日,Sushiswap项目遭到攻击,部分授权用户资产已被转移。根本原因是由于合约的值lastCalledPool重置在校验之前,导致合约中针对pool的检查失效,从而允许攻击者swap时指定恶意pool转出授权用户资金,以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例:1.攻击者在约30天前创建了恶意pool合约2.调用SushiSwap的路由函数processRoute进行swap,指定了创建的恶意合约为pool合约3.最后在swap后恶意合约调用uniswapV3SwapCallback,指定tokenIn为WETH,from地址为受害者用户地址(sifuvision.eth),从而利用受害用户对路由合约的授权转移走资金。建议用户取消不同链上SushiswapRouteProcessor2合约的授权。
安全团队:被标记为“Fake_Phishing7972”的地址将20枚ETH转至 Tornado Cash:金色财经消息,据CertiK监测,在etherscan上被标记为“Fake_Phishing7972”的地址 0x43764 将20枚ETH(约2.8万美元)转至 Tornado Cash。该地址持有335枚ETH(约47万美金)的余额,并从2022年12月中旬开始活跃。[2023/1/12 11:08:06]
安全团队:BGEO Token或存在“无限铸币”漏洞:10月20日消息,据Dataverse在社交媒体透露,目前已经检测到黑客对GEO BSC合约进行攻击,并提醒用户不要在BSC购买GEO,因为相关操作可能无效。后续GeoCash将对相关问题进行维护,也将根据ETH/Polygon链上快照进行空投。
另据派盾(PeckShield)在社交媒体上分析,该问题可能是BGEO(Binance GeoDB Coin)的铸造函数存在“允许无限铸币”漏洞导致。[2022/10/20 16:31:20]
安全团队:周杰伦疑似被钓鱼攻击:4月1日消息,周杰伦在社交媒体上发文确认,曾由好友赠予的无聊猿 BAYC #3738 NFT 被盗。
慢雾安全团队经过分析发现,周杰伦疑似被钓鱼攻击,其钱包地址(0x71de2...e97a1)在11:02签名了授权(approve)交易,将NFT的权限授予了攻击者钱包(0xe34f0...072da),然后攻击者在11:07将无聊猿 BAYC #3738 NFT转移到自己的钱包地址中。与此同时,还有另外2个钱包地址的NFT也被盗以及1个钱包地址的ApeCoin被盗。攻击者得手后,在LooksRare和OpenSea上将盗取的NFT卖掉,获得约169.6 ETH。目前资金停留在 0x6E85C...85b15地址上。[2022/4/1 14:31:09]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。