BTC/HKD+0.62%
ETH/HKD+0.48%
LTC/HKD-1.29%
ADA/HKD-4.34%
SOL/HKD+0.78%
XRP/HKD-0.72%金色財經報道,慢霧創始人余弦在社交媒體上表示,Ledger的一個模塊被供應鏈劫持篡改了,特別注意下這個風險,主要是不知道影響面多廣,可能不少DApp都有依賴Ledger的ledgerhq/connect-kit。大家警惕下所有DApp相關操作,注意錢包待簽名的請求信息是不是預期內的。
其它快訊:
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[5/8/2021 10:44:36 AM]
現場 | 慢霧科技郭陽:面對DApp安全問題開發人員需提升開發能力:金色財經現場報道,今日,2018可信區塊鏈峰會在北京召開。在主題為“區塊鏈安全焦點關注”的區塊鏈安全論壇上,廈門慢霧科技有限公司慢霧安全負責人郭陽指出了以太坊溢出、權限控制、條件競爭、假充值和EOS惡意占用 RAM、假幣等DApp 安全問題,他表示,開發人員要提升自己的開發能力以及專業技能,同時在合約開發完成后找職業的安全團隊審計,也可以參考業界的經驗分析總結。[10/10/2018 12:00:00 AM]
動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到,門羅幣修復新型假充值攻擊漏洞,問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一,如果使用了這個機制來接收用戶的匿名轉賬,攻擊者可以向隱身地址發起惡意構造的重復轉賬,交易所錢包沒對這些重復轉賬進行正確性校驗的話,就可能會導致“假充值”攻擊發生,從而造成嚴重損失。[9/27/2018 12:00:00 AM]
金色財經報道,去中心化物理基礎設施網絡(DePIN) Hivello宣布完成100萬美元的種子前融資.
Block Chain:12/14/2023 1:48:38 PM金色財經報道,據Bitcoin Magazine披露文件顯示,Valkyrie向美國證券交易委員會提交比特幣現貨ETF的第四次修正案.
Block Chain:12/14/2023 1:48:36 PM金色財經報道,PeckShield監測顯示,據社區成員報告,Zapper、Sushi的前端已被入侵。請用戶切勿與任何dApp交互.
Block Chain:12/14/2023 1:48:35 PM金色財經報道。Web3安全機構Blockaid發文稱,檢測到ledgerconnect套件可能受到供應鏈攻擊。ledgerconnect疑似遭遇破壞,現可被注入影響眾多DApp的惡意代碼.
Block Chain:12/14/2023 1:48:34 PM12:00-21:00關鍵詞:Ordinals、Coinbase國際、Paxos、新火科技 1.PeckShield:Zapper、Sushi前端已被入侵; 2.比特幣Ordinals于去年的今天誕生.
Block Chain:12/14/2023 1:48:33 PM12月14日消息,Revoke.cash于X平臺發文表示:“與Ledger ConnectKit庫集成的多個常用加密應用程序(包括Revoke.cash)已受到損害。在進一步調查過程中,我們暫時關閉了該網站.
Block Chain:12/14/2023 1:48:32 PM金色財經報道,跨鏈DEX項目Kyber Network在X平臺發文表示,出于謹慎考慮,其已禁用前端UI,直到情況明確為止.
Block Chain:12/14/2023 1:48:28 PM金色財經報道,由德意志銀行 (DBK) 支持的瑞士加密貨幣托管公司 Taurus與總部位于蘇黎世的專注于德國中小企業的金融科技貸款平臺 Teylor 合作,推動當前各種代幣化資產的趨勢.
Block Chain:12/14/2023 1:48:27 PM金色財經報道,Balancer在社交媒體上發文表示,檢測到Ledger Connect存在潛在漏洞,建議所有用戶小心,避免使用Balancer前端,直到獲得更多信息.
Block Chain:12/14/2023 1:48:26 PM金色財經報道,行情顯示,BTC短時跌破42000美元,現報41980美元,日內漲幅收窄至1.32%,行情波動較大,請做好風險控制.
Block Chain:12/14/2023 1:48:25 PM金色財經報道,Ledger在社交媒體上發文表示,已識別并刪除了Ledger Connect Kit的惡意版本。現在正在推送正版版本來替換惡意文件。暫時不要與任何dApp交互.
Block Chain:12/14/2023 1:48:24 PM金色財經報道,2023年12月14日 8:33 PM 慢霧安全威脅情報發現 @ledgerhq/connect-kit 遭受供應鏈攻擊.
Block Chain:12/14/2023 1:48:23 PM