8月14日消息,波卡生态项目Acala因链上设置错误,导致aUSD增发。以下是慢雾安全团队分析:1.项目方在2022-08-1322:23:12(UTC)调用了update_dex_saving_rewards对aUSD池子的奖励倍率进行了修改,修改为500000000000000000。2.在区块的hook函数on_initialize中会去调用accumulate_dex_saving函数,在函数中池子的奖励总量是由dex_saving_reward_rate乘上dex_saving_reward_base,由于dex_saving_reward_rate在上一步中已经被放大了导致池子的奖励也被放大。3.最后用户领取到了错误的奖励。
谷歌向苹果安全团队支付15,000美元漏洞赏金:金色财经报道,谷歌证实,苹果安全工程和架构团队在Chrome网络浏览器中发现了一个高严重性安全漏洞。此外,SEAR团队还因发现和披露漏洞而获得了Google 15,000美元的奖金。这一特定披露的消息是在8月2日的Chrome更新公告中发布的,确认了由于外部贡献者漏洞报告而进行的11个安全修复。CVE-2023-4072是ChromeWebGL实现中的一个“越界读写”漏洞。
WebGL是JavaScript应用程序编程接口,可以在浏览器中渲染交互式图形,而无需任何插件。存在越界漏洞,程序可以从分配的内存区域的边界之外读取数据(在本例中是写入数据)。谷歌并没有透露太多有关此漏洞的信息,而是对技术细节进行了限制,直到大多数Chrome用户激活了更新。此外,VulnDB指出,成功利用漏洞需要用户交互。目前也没有已知的漏洞可用。[2023/8/7 21:30:01]
安全团队:HacktivistNFT的discord遭投放假mint链接:5月11日消息,BlockSec告警系统于5月11日上午11点40分发现HacktivistNFT项目的discord官方公告正在扩散虚假mint链接,请投资者注意,不要点击虚假mint链接。[2022/5/11 3:06:19]
动态 | 慢雾安全团队剖析EOS 合约竞猜类游戏 FFgame 被攻击事件:据慢雾安全团队消息,针对 EOS 合约竞猜类游戏 FFgame 被攻击事件的剖析,慢雾安全团队通过与 FIBOS 创始人响马的交流及复测推测:攻击者通过部署攻击合约并且在合约中使用与 FFgame 相同算法计算随机数,产生随机数后立即在 inline_action 中使用随机数攻击合约,导致中奖结果被“预测”到,从而达到超高中奖率。该攻击者从第一次出现盗币就已经被慢雾监控账户变动,在今日凌晨(11.8 号)已经第一时间将威胁情报同步给相关交易所平台。
慢雾安全团队提醒类似开发者:不要引入可控或可预测随机数种子,任何侥幸都不应该存在。[2018/11/8]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。