火星链 火星链
Ctrl+D收藏火星链

DEFI:成都链安:F5 BIG-IP远程代码执行漏洞预警CVE-2020-5902-ODAILY

作者:

时间:1900/1/1 0:00:00

漏洞威胁:高

受影响版本

BIG-IP15.x:15.1.0/15.0.0

BIG-IP14.x:14.1.0~14.1.2

BIG-IP13.x:13.1.0~13.1.3

BIG-IP12.x:12.1.0~12.1.5

成都链安:BAYC项目具有被无限铸币的风险:据成都链安安全舆情监控数据显示,BAYC项目具有被无限铸币的风险。成都链安安全团队分析发现,合约的拥有者并非多签钱包,合约拥有者可以任意调用reserveApes()函数进行铸币,每次调用函数可以直接铸造30枚无聊猿NFT,如果合约所有者遭到钓鱼攻击或私钥泄露等,可能会导致大量无聊猿NFT被铸造并售卖。后面成都链安会持续监控该合约拥有者的动向。[2022/6/6 4:04:55]

BIG-IP11.x:11.6.1~11.6.5

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息,OneSwap已9月6日顺利通过智能合约代码安全审计,此次审计工作由三家业内知名的安全公司慢雾科技,派盾PeckShield,成都链安完成。在审计过程中,三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作,以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准,审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议,在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可,可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息,Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

漏洞描述

成都链安CEO杨霞:DeFi项目方应重视合约安全问题:据官方消息,在由OKEx主办的“后疫情时代:DeFi的机遇与挑战”社群活动上,成都链安创始人兼CEO杨霞谈到最近dForce攻击事件,她表示,DeFi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”,开放式金融基础,则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格安全审计,这就导致各种合约漏洞与相关安全问题层出不穷,此次事件项目方就应该进行重入防护:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。[2020/4/30]

在F5BIG-IP产品的流量管理用户页面(TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java代码执行。进而控制F5BIG-IP的全部功能,包括但不限于:执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

修复方案

官方建议可以通过以下步骤暂时缓解影响

1)使用以下命令登录对应系统

tmsh

2)编辑httpd组件的配置文件

edit/syshttpdall-properties

3)文件内容如下

include'<LocationMatch".*\\.\\.;.*">Redirect404/</LocationMatch>'

4)按照如下操作保存文件

按下ESC并依次输入:wq

5)执行命令刷新配置文件

save/sysconfig

6)重启httpd服务

restartsysservicehttpd并禁止外部IP对TMUI页面的访问

漏洞建议

成都链安在此建议使用该应用的交易所进行安全自查,按照官方安全建议进行修复,避免造成不必要的经济损失。

标签:DEFIDEFEFIESWAPDefi BombDEFI S币fdudefiSafeswap

芝麻开门交易所热门资讯
COI:一文了解Filecoin网络开发团队-ODAILY

欢迎来到Filecoin社区亮点系列的第六期,该系列的主题是用户和开发人员在Filecoin网络上构建基本工具和服务.

1900/1/1 0:00:00
PHA:如何给区块链打上马赛克?-ODAILY

Marvin:我们团队比较早期便加入波卡,在去年5月份经过姜老板介绍开始使用Substrate,所以我们和Acala、达尔文等波卡项目也都是好朋友,都是ala系列的.

1900/1/1 0:00:00
SAND:行情分析:现在的境况是要么等待,要么波段 -ODAILY

市场要闻1、巴哈马央行将其数字货币项目SandDollar列入官方资产负债表,并将价值4.8万美元的SandDollar投入流通2、互金协会会长:积极应用区块链等数字技术创新.

1900/1/1 0:00:00
ERG:比特币行情分析:支撑位是否能支撑到底-ODAILY

昨天到今天的9点,24小时净流入7.78亿美元,其中主力净流入3.43亿美元,散户净流入4.34亿美元。其中大单24小时净流入2.01亿,中单1.39亿,小单24小时净流入4.35亿.

1900/1/1 0:00:00
区块链:以色列区块链证券借贷平台将于11月推出-ODAILY

7月28日,位于以色列的特拉维夫证券交易所表示,基于区块链的证券借贷平台目前已经完工。2020年3月,TASE已经对该平台进行测试,并将与11月启动该平台解决方案.

1900/1/1 0:00:00
ETH:行情多头较弱,后期能否再次下跌?-ODAILY

今日行情分析: 比特币今日先开始走了一波短波上涨,随后进行震荡下跌,但是跌倒9090进行探底,但是空头能量并不足,随后进行强势反弹,可见在这个位置有少量多单进行挂单,但是多头情绪并不乐观.

1900/1/1 0:00:00