去中心化交易所SushiSwap因智能合约存在漏洞,导致其中一位用户——FrogNation前财务长「0xSifu」被盗走1,800枚以太币,损失超过300万美元。对此,Sushiswap「主厨」、执行长JaredGray表示,Sushi的「RouteProcessor2」合约存在审批错误,证实为攻击破口,正与安全团队合作解决问题,呼吁用户尽快撤销对该合约的授权。
LTC在周三达到一个月高点:金色财经报道,据CoinDesk的数据,莱特币(LTC)在更广泛的市场平静中度过了一段时光,在过去7天里上涨了15%,周三达到一个月高点95美元。截至发稿时,它已回落至92美元。行情波动较大,请做好风险控制。
据Coinglass数据,锁定在与莱特币相关的未平仓期货合约数量中的美元价值已升至4.78亿美元,为12月初以来的最高水平。
根据Matrixport研究和战略主管Markus Thielen的说法,BRC-20的一个分支出现在Litecoin上,称为LTC-20,使Litecoin的网络比以往更加繁忙。5月10日,确认交易数和活跃地址数分别达到58万和83万的历史新高。
据Matrixport,莱特币的第三次奖励减半将在不到80天的时间内到期。[2023/5/18 15:11:52]
JaredGrey后来在说明事态进展时提到,大部分受影响的资金都在白帽安全流程中被保住,已成功追回逾300枚失窃的以太币,但还有近700枚以太币仍被卡在Lido的奖励金库中,目前正与对方联系以追讨被盗资金。
扩展现实元宇宙公司Spheroid获ABO Digital 2500万美元投资承诺:金色财经报道,扩展现实元宇宙公司Spheroid 宣布获得总部位于巴哈马的ABO Digital总计2500万美元投资承诺,后者也成为该公司的战略融资合作伙伴。Spheroid计划利用新资金构建基于实用型代币Spheroid Universe (SPH) 的工具,包括跨平台编程语言 Spheroid Script和云基础开发环境Spheroid Demiurge IDE,以进一步支持Spheroid Universe的基础设施开发和扩展,同时为AR/XR领域的创作者、程序员和设计师构建低开发成本的工具。(Cointelegraph)[2023/2/22 12:20:41]
此外,SushiSwap技术长MatthewLilley澄清,SushiSwap协议和UI并无风险,所有RouterProcessor2合约的相关问题都已从前端移除,所有LPing/当前交易活动都可以安全进行,SushiSwap将持续监控、追讨被盗资金。
Otherdeed for Otherside系列NFT近24小时交易额增幅超170%:金色财经报道,据OpenSea数据显示,Otherdeed for Otherside系列NFT近24小时交易额为520 ETH,增幅达171%。近24小时交易额排名位列OpenSea第2。[2022/8/26 12:49:30]
区块链和智能合约安全公司Peckshield解释说,存在漏洞的合约「已被部署在多个区块链中」以复制攻击。
DefiLlama创办人0xngmi提到,该攻击似乎只针对那些在过去四天内使用过Sushiswap的用户,并呼吁用户把存在受影响钱包中的资金转走。0xngmi表示,他已建立一个网站,可供用户检查地址是否受到SushiSwap合约攻击事件的影响,同时知道哪些代币的授权需要撤销。
另根据慢雾安全团队情报分析,SushiSwapRouteProcessor2遭到攻击的事件经过如下:
根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。
由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。
恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。
攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。