去中心化交易所SushiSwap因智能合约存在漏洞,导致其中一位用户——FrogNation前财务长「0xSifu」被盗走1,800枚以太币,损失超过300万美元。对此,Sushiswap「主厨」、执行长JaredGray表示,Sushi的「RouteProcessor2」合约存在审批错误,证实为攻击破口,正与安全团队合作解决问题,呼吁用户尽快撤销对该合约的授权。
CZ:马斯克可能在延长模因币的寿命方面发挥了作用:金色财经报道,Binance首席执行官赵长鹏(CZ)对狗狗币尚未消失表示惊讶,并表示特斯拉老板马斯克可能在延长模因币的寿命方面发挥了作用。
CZ表示,“真正让我感到惊讶的一个模因币实际上是狗狗币。它具有超长的持久力,我以为它早就消失了,但马斯克抓住了它并可能延长了它的寿命。”[2023/5/19 15:12:23]
JaredGrey后来在说明事态进展时提到,大部分受影响的资金都在白帽安全流程中被保住,已成功追回逾300枚失窃的以太币,但还有近700枚以太币仍被卡在Lido的奖励金库中,目前正与对方联系以追讨被盗资金。
私人投资管理公司Wilshire聘请FalconX开发数字资产指数:金色财经报道,投资管理公司 Wilshire 宣布聘请加密货币交易公司 FalconX 为其机构客户提供数字资产指数。两家公司将合作为机构投资者开发一套单币、多币和主题指数,以进入加密衍生品市场。FalconX 和 Wilshire 都表示,数字资产的最终价值将是作为其他资产代币化的门户。
总部位于美国加州的 Wilshire 成立于 1972 年,为近 1.2 万亿美元提供咨询服务,管理着 790 亿美元的资产。自 2020 年首次涉足加密行业以来, Wilshire 已开发了 70 多个数字资产指数,对 1,300 多种数字资产进行了分类。[2023/1/25 11:29:03]
此外,SushiSwap技术长MatthewLilley澄清,SushiSwap协议和UI并无风险,所有RouterProcessor2合约的相关问题都已从前端移除,所有LPing/当前交易活动都可以安全进行,SushiSwap将持续监控、追讨被盗资金。
CNBC主持人:币安仍可成功收购Voyager:金色财经报道,CNBC 知名财经节目主持人 Jim Cramer 在社交媒体发文称,币安仍然可以成功收购 Voyager,只是现阶段不能与美国证券交易委员会(SEC)争锋相对。SEC 不让币安完成 Voyager 交易可能是因为担心币安会被证明比想象的“更虚幻”。据此前报道,美国证券交易委员会对 Binance US 提议以 10.2 亿美元收购已破产加密货币借贷平台 Voyager 提出有限异议并质疑披露声明中信息的充分性。[2023/1/5 10:23:27]
区块链和智能合约安全公司Peckshield解释说,存在漏洞的合约「已被部署在多个区块链中」以复制攻击。
DefiLlama创办人0xngmi提到,该攻击似乎只针对那些在过去四天内使用过Sushiswap的用户,并呼吁用户把存在受影响钱包中的资金转走。0xngmi表示,他已建立一个网站,可供用户检查地址是否受到SushiSwap合约攻击事件的影响,同时知道哪些代币的授权需要撤销。
另根据慢雾安全团队情报分析,SushiSwapRouteProcessor2遭到攻击的事件经过如下:
根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。
由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。
恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。
攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。