链闻消息,据慢雾区消息,DeFi量化对冲基金ForceDAO项目的FORCE代币被大量增发。经慢雾安全团队分析发现,在用户进行deposit操纵时,ForceDAO会为用户铸造xFORCE代币,并通过FORCE代币合约的transferFrom函数将FORCE代币转入ForceProfitSharing合约中。但FORCE代币合约的transferFrom函数使用了if-else逻辑来检查用户的授权额度,当用户的授权额度不足时transferFrom函数返回false,而ForceProfitSharing合约并未对其返回值进行检查。导致了deposit的逻辑正常执行,xFORCE代币被顺利铸造给用户,但由于transferFrom函数执行失败FORCE代币并未被真正充值进ForceProfitSharing合约中。最终造成FORCE代币被非预期的大量铸造的问题。此漏洞发生的主要原因在于FORCE代币的transferFrom函数使用了「假充值」写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用require对其返回值进行检查,以避免此问题的发生。ForceDAO对此表示,「团队已意识到xFORCE合约漏洞,xFORCE合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。」
慢雾:Grafana存在账户被接管和认证绕过漏洞:金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。[2023/6/25 21:58:31]
声音 | 慢雾:ETDP钱包连续转移近2000 ETH到Bitstamp交易所,项目方疑似跑路:据慢雾科技反(AML)系统监测显示,自北京时间 12 月 16 日凌晨 2 点开始,ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所,另有 3800 ETH 分散在 3 个新地址中,未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2019/12/16]
声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。
慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。