宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:pGALA 事件根本原因系私钥明文在 GitHub 泄露

作者:

时间:1900/1/1 0:00:00

ForesightNews消息,据慢雾区情报,11月4日,一个BNBChain上地址凭空铸造了超10亿美元的pGALA代币,并通过PancakeSwap售出获利,导致此前GALA短时下跌超20%。慢雾分析结果如下:1.在pGALA合约使用了透明代理模型,其存在三个特权角色,分别是Admin、DEFAULT_ADMIN_ROLE与MINTER_ROLE。2.Admin角色用于管理代理合约的升级以及更改代理合约Admin地址,DEFAULT_ADMIN_ROLE角色用于管理逻辑中各特权角色,MINTER_ROLE角色管理pGALA代币铸造权限。3.在此事件中,pGALA代理合约的Admin角色在合约部署时被指定为透明代理的proxyAdmin合约地址,DEFAULT_ADMIN_ROLE与MINTER_ROLE角色在初始化时指定由pNetwork控制。proxyAdmin合约还存在owner角色,owner角色为EOA地址,且owner可以通过proxyAdmin升级pGALA合约。4.但慢雾安全团队发现proxyAdmin合约的owner地址的私钥明文在Github泄漏了,因此任何获得此私钥的用户都可以控制proxyAdmin合约随时升级pGALA合约。5.proxyAdmin合约的owner地址已经在70天前被替换了,且由其管理的另一个项目pLOTTO疑似已被攻击。6.由于透明代理的架构设计,pGALA代理合约的Admin角色更换也只能由proxyAdmin合约发起。因此在proxyAdmin合约的owner权限丢失后pGALA合约已处于随时可被攻击的风险中。综上所述,pGALA事件的根本原因在于pGALA代理合约的Admin角色的owner私钥在Github泄漏,且其owner地址已在70天前被恶意替换,导致pGALA合约处于随时可被攻击的风险中。

慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。

据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]

慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取:12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]

慢雾:BTFinance被黑,策略池需防范相关风险:据慢雾区情报,智能DeFi收益聚合器BT.Finance遭受闪电贷攻击。受影响的策略包括ETH、USDC和USDT。经慢雾安全团队分析,本次攻击手法与yearnfinance的DAI策略池被黑的手法基本一致。具体分析可参考慢雾关于yearnfinace被黑的技术分析。慢雾安全团队提醒,近期对接CurveFinance做相关策略的机池频繁遭受攻击。相关已对接CurveFinance收益聚合器产品应注意排查使用的策略是否存在类似问题,必要时可以联系慢雾安全团队协助处理。[2021/2/9 19:19:41]

标签:MINADMPROXOXYMINTI币adm币是什么价格ProxyNodeOxyDev

比特币价格今日行情热门资讯
Tokamak Network (TOKAMAK)

一、项目介绍 坦克网络是一个以太坊二层协议前沿技术的整合平台,任何人都可以按需部署合适的二层协议解决方案●轻松进行二层网络部署使用坦克网络构建可定制的二层网络。通过TokamakNetwork实现轻松开发和更多增长.

1900/1/1 0:00:00
Follow-up Notice on Gala Token Abnormality Event (5)

DearHuobiUsers,Inthespiritofprotectingusers'assetsandaftergood-faithcommunicationwiththeGalateam.

1900/1/1 0:00:00
Gate.io连续第三年与Armanino合作,完成100%保证金审计

在数字资产交易中,资产管理一直是用户们最为在意的,交易所能否真正做到公平、透明、安全地管理用户资产是所有用户在进行数字资产交易前首先考量的因素.

1900/1/1 0:00:00
资金利率在CPI之前达到6个月高点——本周比特币需要了解的事

在美国中期选举和关键经济数据公布之前,市场乐观情绪正在消失的迹象。比特币从11月的第二周开始,与一些熟悉的FUD作斗争——BTC价格走势将如何反应?最大的加密货币在11月6日的每周收盘价略低于21,000美元——这是一个令人印象深刻的.

1900/1/1 0:00:00
彭博:比特币和以太坊可能重新占据优势

金色财经报道,根据彭博高级商品策略师MikeMcGlone在11月3日分享的新彭博情报报告,报告显示,比特币和以太坊可能会继续增长,甚至“重新获得优势”,因为它们的波动性和风险与股市相比非常低.

1900/1/1 0:00:00
Hedera Hashgraph 2022 年价格预测

看涨HBAR价格预测为0.0674美元至0.1554美元。HederaHashgraph(HBAR)的价格也可能很快达到0.3美元.

1900/1/1 0:00:00