火星链 火星链
Ctrl+D收藏火星链
首页 > 火币下载 > 正文

SPO:安全公司:Zabu Finance遭受闪电贷攻击简析,因其抵押模型与 SPORE 代币不兼容导致的

作者:

时间:1900/1/1 0:00:00

巴比特讯,据慢雾区情报,2021年9月12日,Avalanche上ZabuFinance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家。

1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

安全公司Fairyproof:DAO的安全形势发展经历了三个阶段:5月13日消息,安全公司Fairyproof发布DAO综合安全研究报告。在报告中,Fairyproof 的研究团队对过去几年 DAO 的安全形势和状况的发展进行了综合性研究。在过去的几年里,尽管 DAO 的发展已取得了巨大的进步,目前的DAO 几乎在所有方面都比 2016 年要成熟得多,但安全问题似乎并没有减退,DAO 仍然面临着很多安全挑战。根据安全漏洞类型,Fairyproof认为 DAO 的安全形势发展经历了三个阶段。第一阶段:智能合约中的安全问题;第二阶段:执行机制中的安全问题;第三阶段:治理中的安全问题。相比其他安全问题,治理攻击是一种专门针对区块链应用的新型攻击, 它比对智能合约的攻击更加复杂。[2022/5/13 3:13:37]

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

网络安全公司ESET发现伪装成加密货币钱包的多款木马应用程序:3月30日消息,网络安全公司ESET研究发现一个“复杂的恶意软件方案”,该方案传播伪装成热门加密货币钱包的木马应用程序。该恶意软件方案的目标是使用安卓或iOS操作系统的移动设备,如果用户下载一个假冒的应用程序,这些设备就会受到威胁。

根据ESET的研究,这些恶意应用程序通过虚假网站分发,并模仿合法的加密钱包,包括MetaMask、Coinbase、Trust Wallet、TokenPocket、Bitpie、imToken和OneKey。

该公司还发现13个假冒Jaxx Liberty钱包的恶意应用程序,可在Google Play Store上获得。谷歌已经移除这些被安装1100多次的违规应用,但在其他网站和社交媒体平台上仍有更多的此类应用。

恶意行为者通过Facebook和Telegram上的社交媒体群组传播其产品,意图从受害者那里窃取加密资产。ESET声称已经发现“数十个木马化加密应用程序”,自2021年5月开始出现。它还表示,该计划主要通过中国网站针对中国用户,它认为这是一个犯罪团体的行为。(Cointelegraph)[2022/3/30 14:26:29]

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。

安全公司:恶意npm包试图窃取Discord令牌:12月10日消息,DevOps安全公司JFrog在npm(Node.js包管理器)存储库中发现17个新的恶意软件包,这些软件包故意试图攻击和窃取用户的Discord令牌。JFrog安全研究高级主管Shachar Menashe和Andrey Polkovnychenko解释说,劫持用户的Discord令牌(用户凭据)使攻击者能够完全控制用户的账户。

Menashe表示,“如果执行得当,这种类型的攻击会产生严重的影响,在这种情况下,公共黑客工具使这种攻击变得足够容易,即使是新手黑客也可以执行。我们建议各组织采取预防措施并管理其使用npm进行软件管理,以降低将恶意代码引入其应用程序的风险。”

两人解释说,这些软件包的有效负载各不相同,从信息窃取者到完全远程访问后门。他们补充说,这些软件包有不同的感染策略,包括键入错误、依赖性混淆和特洛伊木马功能。这些软件包已经从npm存储库中删除,JFrog安全研究团队表示,它们“在获得大量下载之前”就被删除了。

JFrog指出,由于Discord平台是一款流行的视频/语音/文本聊天应用程序,目前已拥有超过3.5亿注册用户,因此旨在窃取Discord令牌的恶意软件有所增加。(ZDNet)[2021/12/10 7:31:29]

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。

参考:

攻击合约1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400

攻击合约2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd

抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb

攻击交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3

获利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac

标签:ABUORESPORESPOMetaBullishThunderCoreSPORE价格SPOODY

火币下载热门资讯
区块链:观点:我们要通过元宇宙,重新构建21世纪人类未来的教育体系

来源:数字资产研究CIDA作者:朱嘉明原标题:《朱嘉明:我们要通过元宇宙,重新构建21世纪人类未来的教育体系》编者按:2021年9月10日.

1900/1/1 0:00:00
数字艺术:NFT考古:最早的以太坊艺术市场诞生于2014年

注:原文来自bankless,作者是WilliamM.Peaster。如果我问你,“最古老的以太坊艺术市场是什么”,你会怎么回答? 如果你的第一个猜测是在2015年7月以太坊主网启动之后发生的事.

1900/1/1 0:00:00
狗狗币:创造者经济正处于危机之中,DAO能否成为解决方案?

原标题:《创造者经济正处于危机之中》本文作者LiJin,AtelierVentures创始人,研究领域创作者经济、DAO、WEB3近两年前,我发表了《激情经济和工作的未来》.

1900/1/1 0:00:00
HARL:Harmony 将在未来四年内提供价值超 3.8亿美元的财库资金支持生态建设

巴比特讯,9月10日,区块链平台Harmony宣布将在未来四年内提供价值超过3.8亿美元的财库资金支持生态建设.

1900/1/1 0:00:00
比特币:彭博社:2020年美国加密及区块链就业市场同比增长6倍以上

据彭博社9月30日报道,尽管监管机构加强了对加密货币及相关业务的监管,但相关就业市场出现了增长态势.

1900/1/1 0:00:00
NFT:1分钟售罄的《时代》杂志NFT销售将Gas价格推高至近万gwei,“先到先得”NFT铸造模式再受争议

9月23日,美国《时代杂志》宣布了他们的NFT系列销售计划,名为TIMEPiece。该系列收藏了来自40位艺术家的4,676件作品.

1900/1/1 0:00:00