链闻消息,慢雾安全团队表示,在其中一笔Opyn合约的攻击中,攻击者仅使用272ETH最终得到467ETH。完整的攻击流程如下:攻击者使用合约先启动Opyn合约的reateERC20CollateralOption函数创建oToken。合攻击约调用运动函数,传入已创建库的地址。通过exercise函数中用于循环逻辑执行调用两次_exercise函数。exercise函数调用transferCollateral函数将USDC转给函数调用者。攻击合约调用removeUnderlying函数将预先定义的ETH转出。最终攻击者拿回了战斗补充的ETH以及额外的USDC。此次攻击主要是利用了_exercise函数中对vaultToExerciseFrom是否创建了vault的检查缺陷。此检查未纠正vaultToExerciseFrom是否是由参与者自己,而只是简单的检查是否创建了vault,导致攻击者可以任意重置已创建vault的地址来通过检查。
声音 | 慢雾科技余弦:数字货币行业缺乏国家相关的监管背书,有很多的乱象:据《每日经济新闻》消息,区块链生态安全公司慢雾科技创始人余弦在接受采访时分析,简单来说,币圈的风险主要有两个。第一个风险是地下黑客,当前的币圈,无论是基础设施还是上层建筑都比较脆弱,相对互联网来说,攻击者的攻击成本很低。通过这些攻击手法,地下黑客能够盗取很多数字货币。第二个风险是这个行业缺乏监管,缺乏国家相关的监管背书,有很多的乱象,比如说各种资金盘、等,这些行为其实都是打着区块链噱头的非法集资。而针对如何保护数字货币的安全,余弦表示,这是一个新的行业,小白投资者应该多学习这个行业的知识,不要只看表面。随着知识的加深,对很多表面上的包装、噱头,自己就会有一些判断。另外,存储数字货币的手机、电脑,要安装杀软件。不使用通过不明渠道下载的软件来存储数字货币,这是最基本的安全防范。[2019/8/30]
动态 | 慢雾区:多个 EOS 游戏合约遭受攻击:据慢雾区:多个 EOS 游戏合约遭受攻击,请广大用户注意风险,保障资产安全。[2018/9/14]
现场 | 慢雾海贼王:保障安全需找专业安全团队做专业审计:金色财经现场报道,在今日万向区块链实验室举办的2018区块链·新经济第四届区块链全球峰会上,慢雾安全负责人海贼王称,一笔合法交易的USDT,至少需要满足以下两个条件:(1)要通过比特币的交易来构造,要符合比特币的余额验证及交易规则验证;(2)要通过USDT自己的余额验证。他总结说,要保障安全,需找专业的安全团队做专业的审计。[2018/9/10]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。