金色财经报道,据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelinAddresslibrary中的functionCallWithValue函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。截止目前,RabbySwap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是TornadoCash10BNB,使用工具有Multichain、ParaSwap、PancakeSwap、UniswapV3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。
动态 | 慢雾安全团队:未来伴随攻击成本降低,51%攻击将快速增多:慢雾安全团队对ETC 51%攻击分析后称,鉴于近期区块链资金热度下降导致全网挖矿算力下降,可预见未来伴随攻击成本降低,此类攻击将快速增多。特别建议对当前有获利空间的币种增加风控机制,并公布一批恶意钱包地址及恶意关联地址,其中包括:Gate.io 钱包地址:0x0d0707963952f2fba59dd06f2b425ace40b492fe
Gate.io 给出疑似攻击者所拥有和操纵的 ETC 钱包地址:
0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B10
0x3ccc8f7415e09bead930dc2b23617bd39ced2c06
0x090a4a238db45d9348cb89a356ca5aba89c75256
Bitrue 钱包地址:
0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69
涉及矿工或者大户:
http://gastracker.io/addr/0x090a4a238db45d9348cb89a356ca5aba89c75256
http://gastracker.io/addr/0x07ebd5b21636f089311b1ae720e3c7df026dfd72[2019/1/9]
声音 | 慢雾安全团队:建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道,针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。[2018/12/19]
慢雾安全团队发布 BEC智能合约无限转币漏洞分析及预警:据了解,4月22日13时左右,BEC出现异常交易。慢雾安全团队第一时间分析发现,BEC智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量转账函数存在漏洞,攻击者可传入很大的value数值,使cnt*value后超过unit256的最大值使其溢出导致amount变为0。
通过此次分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额amount是否大于0,及在for循环内执行balances[msg.sender].sub(value)操作。
这类漏洞属于不可逆的破坏型漏洞,慢雾安全团队建议其他智能合约发布方及时自查。[2018/4/23]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。