[慢雾余弦:技术人员需注意curl漏洞,可暂时不用socks5代理]10月11日消息,慢雾余弦在X平台发文表示:“技术人员注意下curl这个雷点,可以升级的升级,不好升级或漏掉的,可以暂时不用socks5代理。”
据了解,curl的漏洞出在输入的域名太长,从而导致内存溢出,前提条件是使用了socket5代理。
其它快讯:
慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。
2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。
3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。
4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。
针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[6/16/2022 11:45:19 AM]
慢雾安全工程师:安全审计是目前保护DeFi项目安全最高性价比的方式:12月30日,在慢雾科技主办的Hacking Time区块链安全攻防峰会上,慢雾科技高级安全工程师yudan和Kong根据bZx最早期的两次闪电贷攻击案例,介绍了闪电贷基本的攻击形式——代币价格操纵,详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下,如何利用闪电贷另辟蹊径,通过操纵 LP Token的单价来进行获利。并通过慢雾被黑档案库与大家一起回顾了2020 DeFi被黑事件。
yudan和Kong认为,DeFi安全形势严峻,安全审计是目前保护项目安全最高性价比的方式。在当下DeFi黑暗森林里我们在临渊而行,需如履薄冰。[12/30/2020 4:04:29 PM]
声音 | 慢雾科技余弦:区块链行业很多小公司 喜欢办公去中心化:安全公司慢雾科技联合创始人余弦在微博上称,区块链行业真是很多小公司,甚至只有一个人的,喜欢办公去中心化。很多优秀知名的项目,人也很少,像我们这样的都算比较多人的了...从我个人角度,我喜欢这种小而美的公司,利润还不错,做大还是做强,人数多少永远不是重点,创造好价值,赚到钱,如果不小心还能影响点世界的话,何其幸运。[10/10/2019 12:00:00 AM]
郑重声明: 慢雾余弦:技术人员需注意curl漏洞,可暂时不用socks5代理版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。