链捕手消息,据慢雾MistTrack调查,币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击,被盗约1.3亿美金。黑客于27日13时(UTC)部署了攻击合约0x8877,接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。目前,初始黑客获利地址已将4000ETH从BSC链转移到ETH链,接着将300BTCB兑换为renBTC跨链到地址。
慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取:12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。
2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。
3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。
4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。
此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]
BXH团队表示在?币?态链、OEC以及以太坊上的资产处于安全状态,但出于安全考虑,官方暂时暂停了存取款服务。慢雾AML将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]
慢雾:Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日,慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。
1.在Cover协议的Blacksmith合约中,用户可以通过deposit函数抵押BPT代币;
2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子,并使用accRewardsPerToken来记录累计奖励;
3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录;
4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押;
5.此时攻击者将第二次进行deposit,并通过claimRewards提取奖励;
6.问题出在rewardWriteoff的具体计算,在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory,此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值;
7.由于memory中获取的Pool值是旧的,其对应记录的accRewardsPerToken也是旧的会赋值到miner;
8.之后再进行新的一次updatePool时,由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小,所以最后获得的accRewardsPerToken将变大;
9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值,在进行rewardWriteoff计算时获得的值也将偏小,但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值;
10.因此在进行具体奖励计算时由于这个新旧参数之前差值,会导致计算出一个偏大的数值;
11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币,导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]
作者:潘致雄,链闻 作为以太坊生态中最接近去中心化身份形态的底层基础协议,以太坊域名系统可能是为数不多的可以与?Uniswap?或?Gitcoin相提并论的创新型项目.
1900/1/1 0:00:00链捕手消息,专注于虚拟交互的视频聊天平台Gather完成5000万美元B轮融资,红杉资本和IndexVentures领投.
1900/1/1 0:00:00本文于今年8月发布于星球日报。元宇宙的浪潮彻底点燃了以TheSandbox为首的链游热情,但很少有人知道其母公司的名字为AnimocaBrands,在首发本篇文章两个月之后,红杉中国、Dragonfly等顶尖风投加注,以22亿美元估值.
1900/1/1 0:00:00链捕手消息,彭博分析师EricBalchunas预测,Valkyrie基于比特币期货的ETF在上周获得纳斯达克交易所上市认证后,“可能”将在未来几天推出,可能是周三或者周四.
1900/1/1 0:00:00作为人类进入互联网的标志,邮箱在互联网的地位不可撼动。但我们常用的邮箱已经出现了不少问题。数据泄露、垃圾邮件、钓鱼邮件等等问题已经开始影响我们对邮箱的使用.
1900/1/1 0:00:00作者:CharlieWells、MisyrlenaEgkolfpoulou原文标题:《IntotheMetaverse:WhereCrypto,GamingandCapitalismCollide》 编译:麟奇.
1900/1/1 0:00:00