宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾分析Vee.Finance被攻击漏洞:预言机价格源单一且数据获取未进行小数处理

作者:

时间:1900/1/1 0:00:00

链捕手消息,安全分析机构SlowMist针对雪崩生态借贷项目Vee.Finance被攻击事件发布报告。分析称主要原因在于,在创建杠杆交易订单的过程中,预言机仅使用Pangolinpool的价格作为价格馈送源,而该池价格波动超过3%。预言机会刷新价格,导致攻击者操纵了Pangolinpool的价格。而操纵VeeFinance预言机价格和收购预言机价格没有进行小数处理,导致掉期前预期的滑点检查没有起作用。

慢雾创始人余弦:保持IOS系统更新习惯,另外建议尽量不要使用iMessage功能:金色财经报道,卡巴斯基首席执行官尤金·卡巴斯基在社交媒体上称,我们发现了一种针对 iOS 的新网络攻击,称为三角测量。攻击从带有恶意附件的 iMessage 开始,利用 iOS 中的多个漏洞安装间谍软件。无需用户操作。

对此,慢雾创始人余弦转发提醒称,这黑客组织是下血本的,一条 iMessage 消息不需要什么用户交互即可静默地在你的 iOS 上植入木马,远程控制你的 iPhone,禁用升级、重启恢复、偷钱包的能力肯定也是绰绰有余,但这个组织的意图不是这个。不过还是别大意,系统保持更新习惯(虽然木马会禁用更新,这个可能也可以作为判断你 iPhone 是否正常的点),另外强烈建议,iMessage 这功能没什么软用就别用了…[2023/6/2 11:53:30]

绕过对合约调用的检查,以及保证金交易的目标对未列入白名单是该次事故的间接原因。

声音 | 慢雾科技余弦:攻击者通过同样的手机号搞定目标用户在 Coinbase 上的权限:慢雾科技创始人余弦针对最近数字货币交易平台的 SIM 卡转移攻击发文称,前些天有人的 Coinbase 账号遭遇了 SIM Port Attack(SIM 卡转移攻击),损失了超过 10 万美金的数字货币,很惨痛。攻击过程大概是:攻击者通过社会工程学等手法拿到目标用户的隐私,并到运营商得到一张新的 SIM 卡,然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。SIM 都被转移了,这就很麻烦了,基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的弱点。这个攻击以前在国内也有不少案例,运营商的风控策略也越来越强大,但策略这东西总是有绕过方式,这种方式主要就是社会工程学,当然也不排除其他方式的结合。不是我不信任运营商或中心化服务,而是这种重要的资产,大家要更加谨慎了,大额的数字货币是不是应该有更安全的存放方式?相关平台的安全风控策略是不是也该多琢磨如何再提升提升?[2019/5/27]

此前9月20日,Vee.Finance遭遇攻击,价值超过3500万美元的资产被盗。慢雾表示,目前正在协助Vee.Finance进行攻击分析和黑客跟踪。

动态 | 慢雾区:已修复EOS智能合约底层asset类溢出缺陷:据慢雾区消息, EOS智能合约底层asset类存在溢出缺陷,目前 EOSIO v1.1.4版本已修复该问题。如果智能合约中使用到了 asset的乘法操作,建议更新对应的代码并重新编译合约。因为像 asset这样的工具代码是静态编译进合约中的,必须重新编译才能解决其中的安全隐患。[2018/8/9]

标签:SIMNANIMEFINASimba InuHulk Financetime币最新消息Vesta Finance

比特币最新价格热门资讯
Neo-CLI节点全面升级:Neo Legacy主网将在区块高度800万时停止GAS生成

链捕手消息,据官方公告,Neo-CLIv2.13.0已于2021年9月7日发布,并于2021年9月8日北京时间下午4点部署到了测试网。测试网运行平稳后,预计在2021年9月13日北京时间下午4点部署到NeoLegacy主网.

1900/1/1 0:00:00
Paradigm研究合伙人提出新的NFT原语Mortys,更好实现NFT碎片化应用

作者:DaveWhite,区块链投资机构Paradigm? 概括 本文介绍了一种新的NFT原语:鞅股份,或“Mortys”。Mortys是代表NFT类别的部分所有权的合成物。它们不需要买断或预言机,而是依靠一种随机的鞅结算过程.

1900/1/1 0:00:00
Opyn交易教程:如何买入与卖出期权

整理:谷昱 在DeFi期权赛道,Opyn是名副其实的领头羊项目,目前总所锁仓量超过9000万美元,大幅高于其它竞争对手。Opyn是一种用于创建代币化期权产品的协议,每个独立的期权都被铸造为ERC20代币.

1900/1/1 0:00:00
美国联邦地方法院:在 EOS ICO 中受到损失的投资者可从 Block.one 集体诉讼中获赔

链捕手消息,据美国纽约州南区联邦地方法院正在审理的Block.one证券诉讼案的网站显示,凡是在2017年6月26日至2020年5月18日期间参与过EOS首次代币发行的投资者,如果遭遇损失.

1900/1/1 0:00:00
公链激励竞赛重燃洗牌时刻,多链时代即将到来?

作者:凯尔 来源:蜂巢财经 NFT、链上衍生品、区块链游戏等新热点一个接一个来袭,推着DeFi进入了又一个Summer.

1900/1/1 0:00:00
OpenSea高管的「老鼠仓」到底赚了多少钱?

作者:0x13、0x21,律动BlockBeats你能想象「老鼠仓」居然会出现在NFT领域吗?前不久,Coinbase就因内控问题导致频频出现「老鼠仓」而为人诟病,如今,这个问题又出现在了NFT交易平台龙头OpenSea的身上.

1900/1/1 0:00:00