火星链 火星链
Ctrl+D收藏火星链
首页 > OKB > 正文

WBNB:慢雾:建议用户自行排查Moonbirds的Nesting Contract相关漏洞

作者:

时间:1900/1/1 0:00:00

据慢雾区情报反馈,Moonbirds发布安全公告,NestingContract存在安全问题。当用户在OpenSea或者LooksRare等NFT交易市场进行挂单售卖时,卖家不能仅通过执行nesting(筑巢)来禁止NFT售卖,而是要在交易市场中下架相关的NFT售卖订单。否则在某个特定场景下买家将会绕过Moonbirds在nesting(筑巢)时不能交易的限制。

慢雾:攻击Ronin Network的黑客地址向火币转入3750枚 ETH:3月30日消息,慢雾发推称,攻击Axie Infinity侧链Ronin Network的黑客地址向交易所火币转入3750枚ETH。此前金色财经报道,Ronin桥被攻击,17.36万枚ETH和2550万USDC被盗。[2022/3/30 14:26:38]

慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害,属于低风险。建议Moonbirds用户自行排查已nesting(筑巢)的NFT是否还在NTF市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待Moonbirds官方的披露。

慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;

2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;

3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;

5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;

7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;

9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

来源链接

慢雾:BTFinance被黑,策略池需防范相关风险:据慢雾区情报,智能DeFi收益聚合器BT.Finance遭受闪电贷攻击。受影响的策略包括ETH、USDC和USDT。经慢雾安全团队分析,本次攻击手法与yearnfinance的DAI策略池被黑的手法基本一致。具体分析可参考慢雾关于yearnfinace被黑的技术分析。慢雾安全团队提醒,近期对接CurveFinance做相关策略的机池频繁遭受攻击。相关已对接CurveFinance收益聚合器产品应注意排查使用的策略是否存在类似问题,必要时可以联系慢雾安全团队协助处理。[2021/2/9 19:19:41]

标签:SWAPFINVSWWBNBpawswap币怎么样JFIN CoinValuedefi vSWAPowbnb

OKB热门资讯
ENS:OpenSea推出NFT查重检测和账户验证功能,以减少抄袭和虚假项目

据官方博客,NFT市场OpenSea正在添加NFT查重检测和验证功能,旨在减少抄袭和虚假项目。OpenSea表示,本次推出的新功能将提高数字市场的真实性,主要更新包括推出一个检测和删除山寨NFT.

1900/1/1 0:00:00
BER:Kyber Network:三箭资本潜在破产或会影响Kyber财务,但财库仍可支撑Kyber多年发展

去中心化流动性协议KyberNetwork今日发推文称,虽然三箭资本曾与Kyber财库进行场外交易购买了KNC,但三箭资本购买KNC的数量不大,且很久之前已从三箭资本的收款钱包中转出.

1900/1/1 0:00:00
TTE:Terra 2.0快照预计在5月27日进行,创世时的供应量约1.167亿枚

据Terra官方治理网站,Terra2.0将在区块高度7790000处进行快照,按区块时间计算,最早可能会在北京时间5月27日00:20进行.

1900/1/1 0:00:00
COM:Com2uS:NFT交易平台C2X仅使用Terra技术并独立于Luna生态系统,未以现金投资过Luna

据ekoreanews报道,受Terra事件影响,韩国游戏上市公司Com2uS旗下NFT交易平台C2X也备受关注,因该平台使用了TerraformLabs的区块链Terra主网.

1900/1/1 0:00:00
FIN:Do Kwon称开发人员提供的消息不实,Terra社区研究员再次提供证据进行反驳

DoKwon昨晚在推特上表示,Terra生态系统开发人员在脱锚事件后提供了很多错误及虚假信息,他将积极主动与媒体沟通以提供正确信息.

1900/1/1 0:00:00
HAC:成都链安:N3DR代币合约owner地址疑似私钥泄露,损失为930枚BNB

据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,NeorderDao项目的N3DR代币合约的owner地址疑似私钥泄露,累计被盗金额930枚BNB.

1900/1/1 0:00:00