据慢雾安全团队监测,ETH链上的brahTOPG项目遭到攻击,攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下:
1.攻击者首先查询了受害用户0x392472的余额,接着调用了Zapper合约的zapIn函数。
加密货币钱包及交易应用Abra将服务扩展至共150多个国家或地区:金色财经报道,通过与Simplex、Moonpay、Banxa和Transak合作,加密货币钱包及交易应用Abra正在扩展其服务,该公司现已在150多个国家或地区提供服务(以前仅服务于约40个国家或地区)。[2020/12/8 14:31:30]
2.首先函数会为合约转账requiredToken参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。
声音 | 长江商学院学者:Facebook因监管压力刻意回避将人民币纳入Libra货币篮子:长江商学院金融MBA项目副院长李海涛的文章称,从Libra挂钩货币的构成看,显然在刻意回避将人民币纳入货币篮子。在Libra挂钩的货币中,新加坡元具有与人民币币值较高的相关性,正是出于稳定币值但又能够达到“去中国化”的目的,Libra才在货币篮子中加入了新加坡元。从白皮书中透露的协会成员列表看,Libra身上有着很明显的美国烙印,首批28个协会成员企业中,绝大多数为美国公司。而在接受美国国会质询时,Facebook CEO扎克伯格更是多次打出“中国牌”,表示中国央行的数字货币计划将成为“一带一路”倡议的一部分并成为扩大中国在亚洲和非洲影响力的外交和经济政策,相反地,扎克伯格多次提到,Libra将主要由美元支持,未来将扩大美国在全球的金融领导地位,推广美国的民主价值观。我们认为,扎克伯格的一系列“去人民币化”和“中国牌”正是反映出Libra当前面临的监管压力。(第一财经)[2019/11/19]
3.接着会调用内部函数zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。
动态 | 华盛顿邮报:政府“害怕”Libra的原因是它不受单一机构监督:据华盛顿邮报分析指出,之所以全球政府“害怕”Facebook加密货币Libra,一个主要原因是Libra不受任何单一监管机构的监督,也不属于监管银行的联邦储备委员会的职权范围,而且在美国和其他任何地方都没有机构可以对Libra这种私人金融网络进行中央监管。[2019/7/13]
4.之后会外部调用假代币合约的approve函数,该函数为攻击者恶意构造,是为了给Zapper合约转账frax代币,此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。
5.最后外部调用了swapTarget参数所指定的合约,并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。
6.攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的USDC代币约889,343枚。
此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。
Nansen发布《链上分析:Alameda与FTX的崩塌》报告,报告指出,FTX和Alameda从一开始就有着紧密的联系。FTX的平台币FTT,从被创建的第一天起就涉及Alameda.
1900/1/1 0:00:00针对路透社早前关于币安帮助伊朗公司处理80亿美元交易的报道,币安在其官网回应称,本周早些时候发现伊朗加密交易所的用户通过币安进行加密货币转账,之后币安立即采取行动冻结转账、封锁账户,并遵循合规团队制定的协议.
1900/1/1 0:00:00据Calcalistech报道,Web3数字初创公司Yoom宣布完成1500万美元新一轮融资,InterscopeRecords和BeatsElectronics联合创始人JimmyIovine、格莱美奖获奖制作人、歌手Finneas.
1900/1/1 0:00:00据TechinAsia和CoinDesk报道,新加坡法院的一份报告披露,加密借贷平台Hodlnaut一直在向临时司法管理人隐瞒财务文件。IJM要求新加坡高等法院强迫Hodlnaut创始人朱俊涛和SimonLee出示这些隐藏文件.
1900/1/1 0:00:00据CoinDesk报道,一份法庭文件显示,FTX的新任首席执行官、资深破产监管人JohnJ.RayIII正在与法律、网络安全和法务顾问就公司的众多子公司及其各自的破产程序进行合作,并正配合全球数十个监管机构调查.
1900/1/1 0:00:00据TheBlock报道,去中心化交易所CurveFinance开发团队已经发布了即将推出的去中心化稳定币crvUSD的代码和官方文件。其官方GitHub帐户上发布的记录显示,该项目已准备好完成其稳定币的工作.
1900/1/1 0:00:00