火星链 火星链
Ctrl+D收藏火星链

VSW:慢雾:UTXO多签机制可被用于发起对Blockbook的假充值攻击,请注意排查风险

作者:

时间:1900/1/1 0:00:00

继昨日慢雾安全团队披露的UTXO多签机制可被用于发起对交易所的假充值攻击之后,慢雾区安全伙伴安全鹭(Safeheron)反馈了新的威胁情报,知名开源中间件Blockbook(Trezor开源产品)也受此特性影响,安全鹭发现Blockbook获取交易数据接口返回结果中对MultiSig类型交易展示不完善,如果output为MultiSig脚本,Blockbook将会选择脚本中最后一个地址展示,和普通地址交易无法区分。如果交易所、钱包客户端或者其它中心化服务仅根据Blockbook返回结果进行入账判断,将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL,慢雾安全团队建议相关运营方注意排查风险。

慢雾:JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方:8月4日消息,慢雾MistTrack监测显示,JPEG'd攻击者或已将全部6106.75枚ETH归还给项目方。[2023/8/4 16:18:46]

慢雾:攻击Ronin Network的黑客地址向火币转入3750枚 ETH:3月30日消息,慢雾发推称,攻击Axie Infinity侧链Ronin Network的黑客地址向交易所火币转入3750枚ETH。此前金色财经报道,Ronin桥被攻击,17.36万枚ETH和2550万USDC被盗。[2022/3/30 14:26:38]

慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;

2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;

3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;

5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;

7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;

9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

标签:SWAPVSWBNBWBNBVentiSwapValuedefi vSWAPBNB局wbnb和bnb区别和联系

芝麻开门交易所下载热门资讯
ALAX:Galaxy Digital因其股票下跌调整收购Bitgo的条款,总交易价值不变

据CoinDesk报道,GalaxyDigital首席执行官MikeNovogratz在财报电话会议上宣布,收购加密货币托管公司Bitgo的条款发生了变化.

1900/1/1 0:00:00
COIN:美国FBI正寻求软件来追踪市值前95%的加密货币

据福布斯报道,上周五,美国联邦调查局发布了一份提案请求,要求使用最先进的追踪和分析软件以及软件许可证来检测犯罪分子非法使用加密货币的情况.

1900/1/1 0:00:00
ETHER:彭博社:对冲基金Fir Tree正大举做空Tether

据彭博社报道,资产管理规模40亿美元的对冲基金FirTreeCapitalManagement正在大举押注做空稳定币USDT发行方Tether.

1900/1/1 0:00:00
ETHE:加密公司BCB Group在欧盟市场推出加密和法币双重收益类产品BCB Yield

英国加密支付和交易公司BCBGroup宣布在欧盟市场推出支持加密货币和法币双重收益类产品BCBYield.

1900/1/1 0:00:00
XRP:Ripple建议韩国对加密货币进行区分,以提高监管透明度

据Forkast报道,在周二发布的一份政策文件中,Ripple建议韩国明确区分支付代币、实用代币和证券代币.

1900/1/1 0:00:00
INC:美国财政部删除耶伦关于加密资产行政命令的声明

据彭博社报道,美国财政部长耶伦周二晚在美国财政部网站上发布的一份声明中表示,拜登政府的一项加密货币行政命令在鼓励负责任的创新、解决消费者和更广泛的金融体系面临的潜在风险之间取得了适当的平衡.

1900/1/1 0:00:00