火星链 火星链
Ctrl+D收藏火星链

DEP:慢雾:Slope钱包安卓V2.2.2版本的Sentry服务存在私钥泄露

作者:

时间:1900/1/1 0:00:00

慢雾发布对Solana攻击事件的分析,据Solana基金会提供的数据,被盗用户中约60%使用Phantom、约30%使用Slope,其余使用TrustWallet、Coin98Wallet等,IOS和Android均未能幸免。在分析SlopeWallet(Android,Version:2.2.2)时,发现其使用了Sentry的服务。Sentry是一项广泛使用的服务,在“o7e.slopefinance”上运行。Sentry的服务从Slope钱包中收集助记词和私钥等敏感数据,并在创建钱包时将其发送到https://o7e.slopefinance/api/4/envelope/,并发现Version:>=2.2.0包中的Sentry服务会收集助记词发给“o7e.slopefinance”,而Version:2.1.3则没有找到收集助记词或私钥的明显行为。SlopeWallet(Android,>=Version:2.2.0)于06/24/2022之后发布,所以Slope该日期之后的用户受到影响。对于另外60%的使用Phantom钱包用户,分析Phantom钱包后发现,Phantom也使用Sentry服务收集用户信息,但目前没有发现任何明显的收集助记词或私钥的行为。

慢雾:靓号黑客已获取到ParaSwap Deployer和QANplatform Deployer私钥权限:10月11日消息,据慢雾区情报,靓号黑客地址之一(0xf358..7036)已经获取到ParaSwap Deployer和QANplatform Deployer私钥权限。黑客从ParaSwap Deployer地址获取到约1千美元,并在QANplatform Deployer地址做了转入转出测试。慢雾MistTrack对0xf358..7036分析后发现,黑客同样盗取了The SolaVerse Deployer及其他多个靓号的资金。截止目前,黑客已经接收到超过17万美元的资金,资金没有进一步转移,地址痕迹有Uniswap V3、Curve、TraderJoe,PancakeSwap、OpenSea和Matcha。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。[2022/10/11 10:31:05]

慢雾:Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日,慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。

1.在Cover协议的Blacksmith合约中,用户可以通过deposit函数抵押BPT代币;

2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子,并使用accRewardsPerToken来记录累计奖励;

3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录;

4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押;

5.此时攻击者将第二次进行deposit,并通过claimRewards提取奖励;

6.问题出在rewardWriteoff的具体计算,在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory,此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值;

7.由于memory中获取的Pool值是旧的,其对应记录的accRewardsPerToken也是旧的会赋值到miner;

8.之后再进行新的一次updatePool时,由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小,所以最后获得的accRewardsPerToken将变大;

9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值,在进行rewardWriteoff计算时获得的值也将偏小,但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值;

10.因此在进行具体奖励计算时由于这个新旧参数之前差值,会导致计算出一个偏大的数值;

11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币,导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]

声音 | 慢雾:采用链上随机数方案的 DApp 需紧急暂停:根据近期针对EOS DApp遭遇“交易排挤攻击”的持续性威胁情报监测:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陆续被攻破,该攻击团伙(floatingsnow等)的攻击行为还在持续。在EOS主网从根本上解决这类缺陷之前,慢雾建议所有采用链上随机数方案的DAPP紧急暂停并做好风控机制升级。为了安全起见,强烈建议所有竞技类DAPP采用EOS官方很早就推荐的链下随机种子的随机数生成方案[2019/1/16]

标签:REWARDWARVERDEPMetaRewardsPWAR价格Metaverse IndexDEP价格

币赢交易所热门资讯
TAL:风投基金Generalist Capital完成1225万美元筹资,将专注加密等领域

据科技商业分析平台TheGeneralist官网,TheGeneralist创始人MarioGabriele宣布已为其新风投基金GeneralistCapital筹集了1225万美元的资金.

1900/1/1 0:00:00
UPR:此前因做空Luna损失全部用户资金的加密公司Uprise拟通过股票赔付用户40%的损失

据首尔经济日报报道,韩国加密公司Uprise计划对在该公司全权委托虚拟资产投资过程中遭受损失的用户赔偿总损失金额的40%,即100亿韩元.

1900/1/1 0:00:00
比特币:欧洲央行报告:CBDC比比特币、稳定币更适合跨境支付

据Forkast报道,欧洲央行在周一发布的一项研究中表示,央行数字货币可能是跨境支付的“圣杯”,有可能超越市场上的其他任何选择——包括比特币和稳定币.

1900/1/1 0:00:00
RAT:MicroStrategy Q2数字资产减值超9亿美元,CEO转任执行主席将专注于比特币收购战略

据Businesswire报道,MicroStrategy公布其第二季度财务业绩,MicroStrategy2022年第二季度的数字资产减值损失为9.178亿美元.

1900/1/1 0:00:00
TER:韩国律师:Coinbase、币安和OKX均知道谁是对Terra进行抛售攻击的钱包所有者

据CoinDeskKorea报道,位于韩国首尔的Barun律师事务所的律师KimChu近日在该国“数字资产监管趋势和法律问题”网络研讨会上表示:“Coinbase、币安以及OKX都知道谁是5月7.

1900/1/1 0:00:00
FTC:美国CFTC对SEC将9种代币归类为证券的行为感到失望,称其中一些可视为商品

据彭博社报道,美国证券交易委员会宣布9种代币为证券的行为让美国商品期货交易委员会感到失望。知情人士透露,美国商品期货交易委员会也曾调查内幕交易指控,但因SEC上周四宣布9种代币为证券且在其管辖范.

1900/1/1 0:00:00