NAN:安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制

Cobo区块链安全团队就FlurryFinance攻击事件进行了分析，发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同，而是利用了FlurryFinance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵，进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用RabbitFinance的StrategyLiquidate合约来执行任意代码的技巧，但这个技巧涉及到的合约代码本身其实并不存在安全问题。

安全团队：Maple Finance两个矿池资金已被掏空:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Maple Finance两个矿池资金已被掏空，地址为0x6F6和0xCC开头地址。

据了解，近一个月Maple Finance的usdc池一直有大额提款，但是据M11Credit官方宣称是Orthogonal Trading方面的坏账影响了整个池子，Beosin Trace正在对相关资金进行持续监控。[2022/12/6 21:25:06]

Cobo区块链安全团队提醒，开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。

安全团队：NFT项目Gooniez Gang Discord遭攻击并发布钓鱼链接:6月12日消息，据CertiK监测，NFT项目Gooniez Gang的Discord遭到攻击并发布了网络钓鱼链接。请社区用户不要点击任何链接与之交互。[2022/6/12 4:20:22]

此前消息，2月22日，BSC链上的FlurryFinance遭到闪电贷攻击，导致协议中Vault合约中价值数十万美元的资产被盗。

声音 | 慢雾安全团队：建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道，针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况，慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时，应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块)，如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的，存在“假充值”风险。[2018/12/19]

来源链接

标签：NCENANANCFINUMEfinanceBanana TokenSingle FinanceBNSD Finance

屎币热门资讯