安全团队:paraswap部署者私钥疑似泄露,资金在多个链上被盗_PARAS:NAGASWAP

10月11日消息,据Supremacy安全团队监测,2022年10月11日,paraswap部署者地址在多个链上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。经过分析,该地址为Profanity漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有paraswap部署者地址自身资产遭到窃取,暂不影响paraswap多签金库(签名阈值为2),但不排除其他多签地址也由Profanity生成,所以多签金库也可能存在风险。目前Supremacy团队已联系paraswap官方传达信息,在此再次呼吁大家即时将及时更换由Profanity生成的地址,针对Profanity地址的攻击仍在持续进行。

安全团队:一巨鲸从MakerDAO提取2000枚BTC:金色财经报道,据派盾监测,一巨鲸地址从MakerDAO提取2000枚BTC。[2022/11/25 8:06:37]

安全团队:DFX Finance攻击者获利逾23万美元:11月11日消息,据慢雾安全团队情报,ETH链上的DFX Finance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:

1. 攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。

2. 紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。

3. 存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。

4. 由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。

5. 最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。

此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。[2022/11/11 12:51:08]

安全团队:8月加密行业共记录有31起重大攻击事件,损失约2.17亿美元:金色财经消息,据CertiK监测,8月份加密行业共记录有31起重大攻击事件,造成约2.17亿美元损失,其中Nomad漏洞利用造成了1.9亿美元的损失,排名第一。[2022/9/6 13:12:25]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-6:228ms