链捕手消息,据慢雾安全团队情报,2022年7月1号,Optimism生态最大NFT平台Quixotic出现严重漏洞,大量用户资产被盗,提醒在该市场上进行过交易的用户尽快取消授权。
慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。
据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]
据悉,平台在市场合约的fillSellOrder函数中仅对卖单进行了检查,并未对买家的买单做检查。故攻击者首先创建了任意的NFT合约,调用fillSellOrder函数生成卖单,将buyer参数传为受害者地址、paymentERC20参数传为需要盗取的代币地址,即可将对该市场合约有授权的用户的代币转走获利。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
用户可利用Optimism官方浏览器的授权管理功能https://optimistic.etherscan.io/tokenapprovalchecker查看或者取消授权。
慢雾:Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息,Badger DAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。据慢雾MistTrack分析,截止目前黑客已将获利的加密货币换成 renBTC,并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]
链捕手消息,据CoinDesk报道,跨链基础设施协议LI.FI完成550万美元融资,1kx领投.
1900/1/1 0:00:00链捕手消息,加密慈善社区基金会Endaoment和其背后软件开发公司Endaoment.Tech宣布完成667万美元融资,ShineCapital领投.
1900/1/1 0:00:00链捕手消息,NFT借贷协议Zharta宣布获得430万美元种子轮融资,GreenfieldOne、ShillingCapital、PossibleVentures、SpaceShipDao、Un.
1900/1/1 0:00:00来源:Nansen编译:CaptainHiro,DeFi之道考虑到未来很可能是一个多链的世界,那么一个由上千条区块链组成的世界是如何进行无缝互通的呢?正如Celestia此前曾优雅的指出.
1900/1/1 0:00:00原文:WhatWeCanLearnfromDecentralizedCommunityBuilding撰文:Bethany编译:Misaki,Diamond.
1900/1/1 0:00:00整理:饼干,链捕手“过去24小时都发生了哪些重要事件”1、马斯克:我从未说过人们应该投资加密货币特斯拉CEO埃隆·马斯克在卡塔尔经济论坛接受采访时表示:“我从来没有说过人们应该投资加密货币.
1900/1/1 0:00:00