宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 聚币 > 正文

慢雾:建议用户自行排查Moonbirds的Nesting Contract相关漏洞

作者:

时间:1900/1/1 0:00:00

据慢雾区情报反馈,Moonbirds发布安全公告,NestingContract存在安全问题。当用户在OpenSea或者LooksRare等NFT交易市场进行挂单售卖时,卖家不能仅通过执行nesting(筑巢)来禁止NFT售卖,而是要在交易市场中下架相关的NFT售卖订单。否则在某个特定场景下买家将会绕过Moonbirds在nesting(筑巢)时不能交易的限制。

慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;

2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害,属于低风险。建议Moonbirds用户自行排查已nesting(筑巢)的NFT是否还在NTF市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待Moonbirds官方的披露。

慢雾:警惕ETH新型假充值,已发现在野ETH假充值攻击:经慢雾安全团队监测,已发现存在ETH假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查ETH入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约ETH充值时,需要判断内联交易中是否有revert的交易,如果存在revert的交易,则拒绝入账。2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

来源链接

慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]

标签:BNBWBNBSPTENDBNB Hero Tokenwbnb和bnb区别和联系BSPT价格BitcoinVend

聚币热门资讯
多位消费者在幻核付款成功数字藏品却未到账,律师认为幻核应承担违约责任

据中国消费者报报道,近日,多位消费者反映,幻核APP发售数字藏品洛阳龙门数字石刻系列,但消费者付款后藏品却未到账。平台方解释称藏品数量有限,付款成功并不意味着购买成功。据记者调查,遇到上述情况的消费者达200余人.

1900/1/1 0:00:00
英国监管机构将结合近期稳定币市场的不稳定性与财政部联合制定加密新规

据彭博社报道,英国市场监管机构正在密切关注Terra事件后加密市场的混乱。该国金融行为监管局市场执行董事SarahPritchard表示,当监管机构今年晚些时候开始与财政部合作制定和实施加密资产新规则时,“绝对需要考虑到”近期稳定币市.

1900/1/1 0:00:00
比特币奖励公司GoSats完成400万美元Pre-A轮融资, Y Combinator等参投

据TechinAsia报道,比特币奖励公司GoSats完成400万美元Pre-A轮融资,YCombinator、Accel、GossamerCapital、SomaCapital、KubeVC、2amVC、ValhallaCapita.

1900/1/1 0:00:00
前美国驻华大使:全球合作对于促进web3.0的发展非常重要

前美国驻华大使TerryEdwardBranstad在今日举行的以太坊上海Web3.0开发者峰会上表示,全球合作对于促进web3.0的发展非常重要,国际社会需要合作来培育新技术,这将是整个人类社会进步的巨大飞跃.

1900/1/1 0:00:00
知情人士:欧盟将在本月内就监管加密货币行业的关键立法达成协议

据彭博社援引知情人士消息称,欧盟即将就监管加密货币行业的关键立法达成协议,该立法将在27个成员国之间制定共同规则。知情人士称,目前担任欧盟主席的法国和欧洲议会对解决阻碍加密资产市场一揽子计划并在本月达成协议的剩余问题持乐观态度.

1900/1/1 0:00:00
隐私基础设施Nym旗下创新基金获得3亿美元投资承诺

据TheBlock报道,隐私基础设施Nym宣布推出Nym创新基金,并已获得3亿美元投资承诺,投资者包括Polychain、GreenfieldOne、HuobiIncubator、TiogaCapital、EdenBlock、NGCV.

1900/1/1 0:00:00