宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取

作者:

时间:1900/1/1 0:00:00

12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1.Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行NativeToken兑换。在进行兑换前,会先检查用户传入的所需调用的目标Router是否在协议的白名单中。2.经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。3.不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。4.恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。

慢雾:Grafana存在账户被接管和认证绕过漏洞:金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。[2023/6/25 21:58:31]

慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:

1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

动态 | 慢雾:Cryptopia被盗资金发生转移:据慢雾科技反(AML)系统监测显示,Cryptopia攻击者分两次转移共20,843枚ETH,价值超380万美元。目前资金仍停留在 0x90d78A49 和 0x6D693560 开头的两个新地址,未向交易所转移。据悉,今年早些时候加密货币交易所Cryptopia遭受了黑客攻击,价值超过1600万美元的以太坊和ERC-20代币被盗。[2019/11/17]

标签:ABUSPOPOROREABU价格sponge币在哪个交易所买PolysportsMirrored GameStop

欧易交易所app下载热门资讯
ROSE Staking Now Live, Enjoy an APR of 4%

DearKuCoinUsers,KuCoinEarnwillbelaunchingtheROSEStakingat10:00:00onDecember28.

1900/1/1 0:00:00
Crystal Blockchain:今年因勒索软件事件支付的加密货币仅1600万美元

12月23日消息,区块链分析公司CrystalBlockchain表示,据统计,2022年因勒索软件事件向黑客支付的加密货币总额仅为1600万美元,而2021年为近7400万美元.

1900/1/1 0:00:00
Lifeform 孵化链游 HALOWORLD 将于明年第一季度上线

ForesightNews消息,Lifeform首席执行官Brian宣布,由Lifeform孵化、HALO制作完成的成长陪伴类链游HALOWORLD将于2023年一季度上线,持有AvatarNFT的用户将可以体验游戏.

1900/1/1 0:00:00
最值得投资的 5大最赚钱的加密货币

随着加密货币市场的不断发展和成熟,投资者总是在寻找最有利可图的选择来添加到他们的投资组合中。有这么多不同的加密货币可用,很难确定哪些可能带来最高回报。在本文中,我们将重点介绍2023年投资最赚钱的5种加密货币.

1900/1/1 0:00:00
2022年末总结:去中心化存储的现状与未来

TL;DR 将非核心数据从主链上分离并存入?DSN已经成为了解决扩容、提升互操作性和隐私保护的主流方案.

1900/1/1 0:00:00
關於幣安礦池雲算力產品波動的說明(2022-12-24)

親愛的用戶:受北美極端天氣影響,用戶購買的相關雲算力挖礦產品可能會出現24小時左右的斷電情況。為了防範外部天氣因素的不可預測性,幣安將延長雲算力挖礦產品的訂購期,以應對可能出現的停電情況。平均在線費率將根據用戶購買的合同進行計算.

1900/1/1 0:00:00