[黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado]今日8时04分(HKT),BSC链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。据欧科云链链上天眼初步分析:
1、攻击者资金来自PancakeSwap的闪电贷;
2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法,该方法未校验代币数组参数address memory _tokens是否和pid参数指向的LP相吻合,在涉及到LP数额变化时,也未加重入锁。
目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01 BNB(约112.58万美元),另有235.45 ETH(约60.86万美元)通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金(230 ETH)已流入Tornado Cash。
该事件提醒我们,在涉及到金额变动的合约方法中,一定要关注重入漏洞,尽量使用重入锁modifier。
链上天眼团队已对相关地址进行了监控,并将进一步跟进事件进展。
黑客利用虚假的新型冠状病地图传播恶意软件:在线安全研究人员警告,黑客发现了另一种利用新型冠状病爆发的方法——通过恶意新型冠状病地图感染人们。许多组织已经创建新型冠状病地图来跟踪病及其传播,许多人依靠它们来跟踪最新的感染数字。来自Reason Labs的Shai Alfasi最近报告称,黑客正在制作此类地图和仪表盘的假版本,以窃取信息。他们需要的数据包括密码和用户名、信用卡号码以及他们可以收集的任何其他敏感数据。虽然真正的地图在用户进入网站时就能提供信息,但这些假地图需要用户下载一个应用程序,帮助他们跟踪新的进展。但是,即使用户不安装应用程序,也可能受到感染。据目前所知,这些恶意软件似乎只会影响Windows设备,不过专家认为,其他系统也会受到感染只是时间问题。同时,Alfasi表示,假的新型冠状病地图使用恶意软件AZORult感染用户的设备。他补充说,该恶意软件激活了其他恶意软件。它就像一个信息窃贼,从2016年就开始存在了。除了窃取敏感数据外,它还可以在受感染的设备上安装其他恶意软件。他还指出,这些恶意软件在俄罗斯地下网络论坛中最为常见。(Beincrypto)[2020/3/18]
动态 | 谷歌G Suite推特账号被黑客利用推广比特币:据thenextweb报道,黑客黑入谷歌G Suite在推特上的官方账号推广比特币。黑客在其官方账号G Suite上表示,将赠送1万枚比特币。目前还没有确认推广比特币的推文在G Suite的账号中保留了多长时间,但它不会少于11分钟。谷歌尚未通过官方声明解决这一事件。 今天早些时候,美国零售巨头Target的推特账号也遭遇了同样的事件。[2018/11/14]
研究表明黑客利用恶意比特币APP来窃取金钱和个人数据:据网络安全公司RiskIQ,在苹果App Store,Google Play等20家应用商店中,有661种被网络安全厂商列入黑名单的加密货币应用。其中,Google Play架上的恶意程序最多。黑客利用含有“比特币交易”“比特币钱包”“数字货币”等字样的表述来吸引潜在受害者。[2018/1/24]
郑重声明: 黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。