据慢雾区消息,Solana上出现多起授权钓鱼事件。攻击者批量给用户空投NFT(图1),用户通过空投NFT描述内容里的链接(www_officialsolanarares_net)进入目标网站,连接钱包(图2),点击页面上的“Mint”,出现批准提示框(图3)。注意,此时的批准提示框并没有什么特别提示,当批准后,该钱包里的所有SOL都会被转走。当点击“批准”时,用户会和攻击者部署的恶意合约交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
慢雾安全:Quiuixotic 出现严重漏洞,请相关用户尽快取消授权:据慢雾安全团队情报,2022年7月1日,Optimism生态最大NFT平台Quiuixotic出现严重漏洞,大量用户资产被盗,请在该市场上进行过交易的用户尽快取消授权。
在市场合约的fillSell Order函数中仅对卖单进行了检查,并未对buyer的买单做检查。故攻击者首先创建了任意的NFT合约,调用fillSellOrder函数生成卖单,将buyer参数传为受害者地址、payment ERC20参数传为需要盗取的代币地址,即可将对该市场合约有授权的用户的代币转走获利。[2022/7/1 1:44:30]
该恶意合约的功能最终就是发起“SOLTransfer”,将用户的SOL几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。
慢雾安全提醒:Discord,Telegram频道公告权限设置提醒:据慢雾安全情报,近期存在项目因 Discord 管理账户权限设置问题而造成管理账户被接管,并通过公告频道发布钓鱼链接,导致社区用户遭受损失的事件。在此提醒各位注意添加频道权限设置,管理公告发布,预防仿冒官方人员名称发布公告及网络链接钓鱼问题。[2021/12/24 8:00:42]
提醒:1.恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的Token。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。
动态 | 慢雾安全团队发现新型公链攻击手法“异形攻击”:慢雾安全团队发现针对公链的一种新型攻击手法“异形攻击”(又称地址池污染),是指诱使同类链的节点互相侵入和污染的一种攻击手法,漏洞的主要原因是同类链系统在通信协议上没有对非同类节点做识别。这种攻击在一些参考以太坊通信协议实现的公链上得到了复现,以太坊同类链,由于使用了兼容的握手协议,无法区分节点是否属于同个链,导致地址池互相污染,节点通信性能下降,最终造成节点阻塞、主网异常等现象。相关公链需要注意持续保持主网健康状态监测,以免出现影响主网稳定的攻击事件出现。[2019/4/18]
2.Solana最知名的钱包Phantom在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。
标签:SOL以太坊ORDNFTSOLRilv币未来会超过以太坊吗Sword BSC TokenMANEKI Vault (NFTX)
元宇宙这个新兴概念空降2021,相关概念股一路高涨,并且还成为了“汉语盘点2021”年度词与2021年度十大网络用语词汇,而元宇宙不仅仅激发了大家的好奇心,更是引起了科技公司与行业巨头们的特别关注.
1900/1/1 0:00:00出品|虎嗅金融组 作者|周舟 原标题:《互联网巨头“海外会战”Web3》阿里、腾讯、字节三大互联网巨头不约而同地投了一颗探路石子,让死气沉沉的互联网泛起了一阵涟漪.
1900/1/1 0:00:00//前言 北京时间3月5日,知道创宇区块链安全实验室监测到BaconProtocol遭受黑客攻击损失约958,166美元,本次攻击利用重入漏洞,并凭借闪电贷扩大收益额。目前攻击者地址还没有被加入USDC的黑名单中.
1900/1/1 0:00:00摘要:3月23日,厦门市出台元宇宙产业发展三年行动计划,文件指出,力争到2024年,引入培育一批掌握关键技术、营收上亿元的元宇宙企业.
1900/1/1 0:00:003月21日下午,Computecoin测试网huygens启动会在链节点举行,Computecoin生态负责人MichaelRobinson在路演中表示,现有的云基础设施无法满足Web3和元宇宙对算力的需求.
1900/1/1 0:00:001.CoinbaseCEO:除非美国政府实施禁令,否则不会禁止所有俄罗斯人使用Coinbase2.周杰伦魔杰电竞申请注册“JTEA元宇宙”商标SBF:FTX开发稳定币的事暂未确定任何细节:SBF:FTX开发稳定币的事暂未确定任何细节.
1900/1/1 0:00:00