Equipo de seguridad: el protocolo de transacción descentralizado KaoyaSwap en BNB Chain fue atacado, lo que fue causado por la lógica incorrecta de la función de transacción

[Equipo de seguridad: el protocolo comercial descentralizado KaoyaSwap en la cadena BNB fue atacado, lo que fue causado por la lógica incorrecta de la función de transacción] Según el monitoreo de BlockSec, el protocolo comercial descentralizado KaoyaSwap en la cadena BNB fue atacado y la ganancia del ataque fue 37.294 BUSD y 271,2 WBNB (aprox. $80.000) más o menos. BlockSec declaró que el ataque fue causado por una lógica defectuosa de la función de transacción.

Otras noticias:

Equipo de seguridad: los atacantes de DFX Finance ganaron más de $230 000: el 11 de noviembre, según la inteligencia del equipo de seguridad de SlowMist, el proyecto DFX Finance en la cadena ETH fue atacado y los atacantes obtuvieron una ganancia de alrededor de $231 138. El equipo de seguridad de SlowMist compartió lo siguiente en forma de boletín informativo:

1. El atacante primero llama a la función viewDeposit en el contrato llamado Curve para verificar el estado del depósito en el contrato y luego construye un préstamo flash adecuado basado en el estado del depósito devuelto.

2. Luego proceda al préstamo flash con la función flash del contrato Curve, ya que esta función no está protegida por el bloqueo de reingreso, el atacante usa la función flashCallback en el préstamo flash para devolver la función de depósito del contrato para depositar.

3. La función de depósito llama externamente a la función de depósito proporcional del contrato de liquidez proporcional. En esta función, los fondos prestados en el segundo paso se transferirán de nuevo al contrato Curve, y el depósito se registrará para el contrato de ataque y el certificado de depósito. se acuñará para el contrato de ataque. .

4. Debido al uso de la función de depósito de reentrada para transferir fondos de vuelta al contrato de Curve, la verificación de saldo del reembolso del préstamo flash se pasó con éxito.

5. Finalmente, llame a la función de retiro para retirar.Al retirar, el certificado de depósito se quemará de acuerdo con la cuenta del contrato de ataque en el tercer paso del depósito, y alrededor de 2,283,092,402 tokens XIDR y 99,866 tokens USDC se retirarán con éxito para hacer una ganancia.

La razón principal de este ataque es que la función de préstamo flash del contrato de Curve no tiene protección de reingreso, lo que lleva al ataque a volver a ingresar a la función de depósito para transferir tokens para juzgar el saldo del reembolso del préstamo flash. registrado, el atacante puede obtener una ganancia en un retiro exitoso. [2022/11/11 12:51:08]

Equipo de seguridad: algunos sitios web maliciosos usan "Ethereum Merger" para phishing: Golden Finance News, según el monitoreo de Beosin Alert, algunos sitios web maliciosos están usando los puntos de acceso recientes de "Ethereum Merger" para actividades de phishing, estos sitios web incluyen ethereum-2[ .]mozellosite [.]com y eth-crv[.]com/erc/#/. [2022/9/2 13:04:05]

Equipo de seguridad: La cuenta de Twitter del proyecto NFT JRNY CLUB ha sido robada: El 29 de junio, el equipo de seguridad CertiK tuiteó hoy que la cuenta de Twitter @JRNYclub del proyecto NFT JRNY CLUB ha sido robada, y JRNY CLUB anunció a través de Discord Para confirmar esto, los usuarios no deben hacer clic en ningún enlace. [2022/6/29 1:38:18]