Cobo区块链安全团队就FlurryFinance攻击事件进行了分析,发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同,而是利用了FlurryFinance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵,进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用RabbitFinance的StrategyLiquidate合约来执行任意代码的技巧,但这个技巧涉及到的合约代码本身其实并不存在安全问题。
安全团队:JIM2.0代币存在后门功能,请尽快移除WETH/JIM2.0交易对中资产:7月17日消息,据Beosin Alert监测,以太坊上的JIM2.0代币存在后门功能,允许其合约所有者无限铸币。建议用户尽快移除WETH/JIM2.0交易对中的资产。[2023/7/17 10:59:24]
Cobo区块链安全团队提醒,开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。
安全团队:ROE Finance 项目遭到闪电贷攻击:金色财经消息,据CertiK监测,ROE Finance项目遭到闪电贷攻击。目前部署者已暂停合约功能,被盗资金总额约为8万美元。
ETH合约地址:0x574FF39184Dee9e46F6C3229B95e0e0938e398d0[2023/1/12 11:07:26]
此前消息,2月22日,BSC链上的FlurryFinance遭到闪电贷攻击,导致协议中Vault合约中价值数十万美元的资产被盗。
安全团队:rugpullfinder Discord服务器已被入侵:金色财经报道,据CertiK监测显示,NFT开源情报供应商@rugpullfinder Discord服务器已被入侵。在#hack-warnings频道里有一个钓鱼链接。
请不要点击链接,Mint,或批准任何交易。[2022/8/17 12:30:59]
来源链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。