[安全团队:Brahma TopGear (brahTOPG) 项目存在任意外部调用的风险,请迅速取消授权]11月10日消息,据慢雾安全团队监测,2022年11月10日,ETH链上的brahTOPG项目遭到攻击,攻击者获利约 89,879 美元。慢雾安全团队分析称,此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。
安全团队:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权:金色财经报道,据慢雾安全团队情报,2023年4月9日,SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下:
1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查,导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。
2. 由于在合约中并未对 Pool 是否合法进行检查,直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。
3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数,由于 lastCalledPool 变量已被设置为 Pool,因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。
4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数,以窃取其他已对 RouteProcessor2 授权的用户的代币。
幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。[2023/4/9 13:53:21]
安全团队:dForcenet合约遭受攻击,总损失约370万美元:金色财经报道,据区块链安全审计公司Beosin旗下平台监测显示,dForcenet合约,分别在Optimism 和 Arbitrum两条L2链上遭到了攻击。两条链上总损失约370万美元。据Beosin安全技术人员分析,原因为项目方外部接口curve的使用方式不当,未考虑重入风险,影响了Oracle的价格,攻击者在价格被操纵的情况下清算头寸获取利润。
在Arbitrum上的攻击交易获利719,437枚dForce USD (USX) 和 1236 枚 ETH(约195万美元)。ETH还留在Arbitrum链上的地址上,USX通过跨链桥转移到Optimism链上。在Optimism链上的攻击交易获利1,037,000 USX,最后所有的USX被兑换成了1110 枚ETH(约175万美元)。ETH还留在Optimism链上的地址上。[2023/2/10 11:59:11]
动态 | 慢雾安全团队发现新型公链攻击手法“异形攻击”:慢雾安全团队发现针对公链的一种新型攻击手法“异形攻击”(又称地址池污染),是指诱使同类链的节点互相侵入和污染的一种攻击手法,漏洞的主要原因是同类链系统在通信协议上没有对非同类节点做识别。这种攻击在一些参考以太坊通信协议实现的公链上得到了复现,以太坊同类链,由于使用了兼容的握手协议,无法区分节点是否属于同个链,导致地址池互相污染,节点通信性能下降,最终造成节点阻塞、主网异常等现象。相关公链需要注意持续保持主网健康状态监测,以免出现影响主网稳定的攻击事件出现。[2019/4/18]
郑重声明: 安全团队:Brahma TopGear (brahTOPG) 项目存在任意外部调用的风险,请迅速取消授权版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。