BOOK:安全公司 Dedaub 披露 Uniswap 新通用路由器的重入漏洞，并获得漏洞赏金

ForesightNews消息，安全公司Dedaub团队宣布获得UniswapLabs的安全漏洞报告赏金，因为其披露Uniswap的一个严重漏洞，该漏洞有重入的可能性，会耗尽用户的资金。不过，资金是安全的，且Uniswap团队已解决该漏洞并在所有链上重新部署了UniversalRouter智能合约。Uniswap在2022年11月份发布通用路由器「UniversalRouter」智能合约，可将ERC20和NFT兑换统一到一个交换路由器中，用户可以执行异构操作，例如，在一笔交易中交换多个代币和NFT。Dedaub表示，「该路由器为各种代币操作嵌入了脚本语言，此类命令可能包括向第三方接收人的传输。如果在传输过程中的任何时候调用第三方代码，该代码可以重新进入UniversalRouter并在合约中临时认领任何代币。Dedaub建议Uniswap为新路由器的核心执行添加一个重入锁，并重新部署。」

安全公司：AurumNodePool合约遭受漏洞攻击简析:金色财经报道，据区块链安全审计公司Beosin EagleEye监测显示，2022年11月23日，AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证，导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数，接下来调用claimNodeReward函数提取节点奖励，而节点奖励的计算取决于攻击者设置的rewardPerDay值，导致计算的节点奖励非常高。而在这一笔交易之前，攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR，创建了攻击者的节点记录，从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

安全公司：UTXO多签机制可被用于发起对Blockbook的假充值攻击，请注意排查风险:据官方消息，继昨日慢雾安全团队披露的 UTXO 多签机制可被用于发起对交易所的假充值攻击之后，慢雾区安全伙伴安全鹭(Safeheron)反馈了新的威胁情报，知名开源中间件 Blockbook (Trezor 开源产品) 也受此特性影响，安全鹭发现 Blockbook 获取交易数据接口返回结果中对 MultiSig 类型交易展示不完善，如果 output 为 MultiSig 脚本，Blockbook 将会选择脚本中最后一个地址展示，和普通地址交易无法区分 。如果交易所、钱包客户端或者其它中心化服务仅根据 Blockbook 返回结果进行入账判断，将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有 BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL，慢雾安全团队建议相关运营方注意排查风险。[2022/4/8 14:12:53]

德国安全公司推出“防黑客”智能手机 用于存储数字货币:德国安全公司Sikur在巴塞罗那举行的2018年世界移动通信大会上推出了一款内置数字货币钱包的智能手机，该公司称，这款手机有完全加密和防黑客的强大安全机制，可以保证数字货币的安全存储。[2018/3/1]

标签：UNISWAPODEBOOKMiracle Universezkswap币最新消息gode币合法吗NFTBooks

抹茶交易所热门资讯