火星链 火星链
Ctrl+D收藏火星链

NUM:慢雾:Numbers Protocol (NUM)代币项目遭攻击,请用户迅速取消对跨链桥的授权

作者:

时间:1900/1/1 0:00:00

据慢雾安全团队情报,ETH链上的NumbersProtocol代币项目遭到攻击,攻击者获利约13,836美元。慢雾安全团队以简讯形式分享如下:

1.攻击者创建了一个恶意的anyToken代币,即攻击合约,该恶意代币合约的底层代币指向NUM代币地址;

慢雾:Apple Store恶意钓鱼程序可模仿正常应用程序,盗取账号密码以绕过2FA:7月25日消息,慢雾首席信息安全官23pds发推提醒用户注意Apple ID出现的最新攻击案例,其中Apple Store出现恶意钓鱼程序,通过模仿正常应用程序盗取用户账号和密码,然后攻击者把自己的号码加入双重认证的信任号码,控制账号权限,用来绕过苹果的2FA。“加密货币用户务必注意,因为目前有不少用户、钱包的备份方案是iCloud备份,一旦被攻击,可能造成资产损失”。[2023/7/25 15:56:56]

2.接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数,该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准,之后兑换出拥有授权的用户的底层代币给指定地址。但是由于NUM代币中没有permit函数且拥有回调功能,所以即使攻击者传入假签名也能正常返回使得交易不会失败,导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中;

慢雾:仍有大部分钱包支持eth_sign,仅少部分钱包提供安全风险警告:金色财经报道,在加密货币NFT板块,越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈,提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的,不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign,其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign,他们可以选择支持该功能的加密钱包。但是,用户在使用这些钱包时需要特别注意安全警告,以确保其交易的安全性。[2023/5/11 14:57:14]

3.接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利;

慢雾:PREMINT攻击者共窃取约300枚NFT,总计获利约280枚ETH:7月18日消息,慢雾监测数据显示,攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT,卖出后总计获利约280枚ETH。此前报道,黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击,从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

此次攻击的主要原因在于NUM代币中没有permit函数且具有回调功能,所以可以传入假签名跨链桥导致用户资产被非预期转出。

参考攻击交易:https://etherscan.io/tx/0x8a8145ab28b5d2a2e61d74c02c12350731f479b3175893de2014124f998bff32

标签:ETHNUMSIGNIGNunshETHNumisMeSignal TokenDignity

比特币行情热门资讯
FLR:币安将于2023年1月9日进行FLR代币空投

币安将在明年1月9日向符合条件的用户进行Flare(FLR)代币空投,本次空投以2020年12月12日的XRP快照作为资格及标准,提供前15%的FLR代币分配.

1900/1/1 0:00:00
LOCK:Block.one和公司CEO共同收购Silvergate 17%的股份

据TheBlock报道,根据Block.one提交给美国证券交易委员会(SEC)的文件显示,该公司首席执行官BrendanBlumer在11月16日购买了290万股加密银行Silvergate的.

1900/1/1 0:00:00
GNO:sDAO合约业务逻辑存在漏洞,攻击者获利超1.3万BUSD

根据区块链安全公司Beosin旗下EagleEye监测显示,BNBChain上的sDAO项目遭受漏洞攻击.

1900/1/1 0:00:00
BTM:今年加密ATM机安装数量大幅下降,已存数量中美国占比87%

据CoinATMRadar数据,在经历了2020年和2021年的爆炸式增长之后,今年新的加密货币ATM机安装数量大幅下降。截止目前,全球加密ATM机安装数量为38866台,分布在78个国家.

1900/1/1 0:00:00
FTX:彭博社:富达投资等华尔街巨头曾致信美CFTC支持FTX衍生品交易计划

据彭博社报道,FTX此前曾申请一项有争议的计划,希望获得监管机构批准,以允许其衍生品交易平台使用通过算法产生的保证金直接与投资者进行交易,而不是传统的金融中介机构.

1900/1/1 0:00:00
SHE:Hashed CEO以自Terra崩盘以来患有精神疾病为由拒绝出席韩国国民议会

据E-Daily报道,韩国国会政务委员会于10月开始对Luna-Terra事件展开国政监察,其中加密风投机构Hashed首席执行官SimonSeojoonKim被选为该事件的证人.

1900/1/1 0:00:00