Equipo de seguridad: ShadowFi no define un control de acceso razonable y los atacantes lo aprovechan

[Equipo de seguridad: ShadowFi no definió un control de acceso razonable y fue explotado por atacantes] Según noticias oficiales, el 2 de septiembre, el equipo de seguridad de HyperLab detectó el evento de devaluación del token ShadowFi en la cadena BSC. El atacante destruyó 10,354,936.721195451 tokens SDF y luego intercambió 8.461538282 SDF por aproximadamente $300,000 en activos de BNB.

Según el análisis del equipo, a partir de los detalles de la transacción, el atacante llamó a la función burnTokens() en la transacción para quemar el SDF, y el contrato de ShadowFi no implementó la función de verificación de autoridad onlyOwner, y estableció burnTokens en público, lo que llevó a ser utilizado por el atacante para quemar todas las fichas. La parte del proyecto no definió un control de acceso razonable para funciones como burn(), lo que provocó que cualquier usuario pudiera llamar a este contrato, lo que generaba pérdidas innecesarias.

Se informa que Hyperlab se enfoca en el producto principal de la billetera digital y sus servicios periféricos, y lleva a cabo trabajos de investigación sobre temas como la seguridad de la billetera caliente, la seguridad de la billetera fría, la seguridad del servidor de la billetera y la seguridad del usuario de la billetera, y proporciona soluciones y servicios de seguridad para usuarios y empresas.

Otras noticias:

Equipo de seguridad: El proyecto El viaje del despertar fue atacado por préstamos rápidos, y los atacantes obtuvieron una gran cantidad de tokens ATK: Jinse Finance informó que, de acuerdo con el monitoreo de la plataforma de monitoreo y alerta temprana de seguridad Beosin EagleEye Web3, El viaje del despertar ( ATK) fue atacado por préstamos flash. El atacante atacó el contrato de estrategia (0x96bF2E6CC029363B57Ffa5984b943f825D333614) del proyecto ATK a través de un ataque de préstamo rápido y obtuvo una gran cantidad de tokens ATK del contrato.

El equipo de seguridad de Beosin analizó y descubrió que el atacante convirtió todos los tokens ATK obtenidos en BSC-USD de aproximadamente 120 000 dólares EE. UU. Actualmente, los fondos robados se han convertido en BNB en la dirección 0xf2ade5950cdfb43b47fdb0a7bf87e9c84467981f y todos se transfieren a la dirección del tornado. El equipo de seguridad de Beosin utilizará Beosin Trace que proporciona un seguimiento continuo de los fondos robados. [2022/10/12 10:32:20]

Equipo de seguridad: un pirata informático robó USD 950 000 en criptomonedas de una dirección de Ethereum generada con Blasfemia: según las noticias del 26 de septiembre, según el monitoreo de PeckShield, las direcciones que comienzan con 0x9731F se generaron a partir de una dirección de Ethereum generada con las herramientas de Profanity. la "Dirección Popular", y los atacantes han transferido 732 Ethereum a Mixer.

En noticias anteriores, 1 pulgada publicó un informe que decía que algunas direcciones de Ethereum creadas a través de Profanity tenían vulnerabilidades graves. [2022/9/26 7:21:17]

El equipo de seguridad de Cobo explicó la vulnerabilidad de Stargate en detalle: puede hacer que los recibos de transacciones falsificados pasen la verificación MPT: El 29 de marzo, el equipo de seguridad de Cobo escribió un artículo para analizar la vulnerabilidad de seguridad del protocolo subyacente LayerZero de la cadena cruzada de Stargate. bridge, diciendo que el código de vulnerabilidad original fue verificado por MPT, sin restringir el puntero a la longitud de proofBytes, esta vulnerabilidad puede permitir que el atacante falsifique el hashRoot, lo que hace que el recibo de transacción falsificado pase la verificación de MPT. La consecuencia final es que, bajo la premisa de que la máquina del oráculo es completamente confiable, el retransmisor aún puede atacar unilateralmente el protocolo de cadena cruzada falsificando los datos del recibo.

Vale la pena señalar que el código que expuso la vulnerabilidad esta vez es el código de la parte central de verificación de transacciones MPT del protocolo LayerZero, que es la piedra angular del funcionamiento normal de todos los protocolos LayerZero y de capa superior (como Stargate) . El equipo de seguridad de Cobo también declaró que la mayoría de los contratos clave del proyecto LayerZero están actualmente controlados por la EOA, y no se adopta ningún mecanismo de firma múltiple o mecanismo de bloqueo de tiempo. Si se filtran las claves privadas de estos EOA privilegiados, los activos de todos los protocolos de capa superior también pueden verse afectados. [2022/3/29 14:24:49]