11月7日消息,据慢雾区情报,上周pNetwork增发GALA事件的根本原因系私钥明文在GitHub泄露。在pGALA合约使用了透明代理模型,其存在三个特权角色,分别是Admin、DEFAULT_ADMIN_ROLE与MINTER_ROLE。Admin角色用于管理代理合约的升级以及更改代理合约Admin地址,DEFAULT_ADMIN_ROLE角色用于管理逻辑中各特权角色,MINTER_ROLE角色管理pGALA代币铸造权限。在此事件中,pGALA代理合约的Admin角色在合约部署时被指定为透明代理的proxyAdmin合约地址,DEFAULT_ADMIN_ROLE与MINTER_ROLE角色在初始化时指定由pNetwork控制。proxyAdmin合约还存在owner角色,owner角色为EOA地址,且owner可以通过proxyAdmin升级pGALA合约。但慢雾安全团队发现proxyAdmin合约的owner地址的私钥明文在Github泄漏了,因此任何获得此私钥的用户都可以控制proxyAdmin合约随时升级pGALA合约。不幸的是,proxyAdmin合约的owner地址已经在70天前被替换了,且由其管理的另一个项目pLOTTO疑似已被攻击。由于透明代理的架构设计,pGALA代理合约的Admin角色更换也只能由proxyAdmin合约发起。因此在proxyAdmin合约的owner权限丢失后pGALA合约已处于随时可被攻击的风险中。
安全公司:BistrooIO遭受重入攻击,损失约47000美元:5月8日消息,据成都链安“链必应-区块链安全态势感知平台“安全舆情监控数据显示,BistrooIO 项目遭受重入攻击,损失1,711,569个BIST(约47000美元),经成都链安技术团队分析,本次攻击原因是由于pTokens BIST代币支持ERC-777的代币标准,其合约在实现transfer调用的时候,会调用_callTokenToSend,进而调用tokensToSend()函数,攻击者在该函数中通过重入方式调用了EmergencyWithdraw函数,造成重入攻击。[2022/5/8 2:58:42]
安全公司:APE空投遭闪电贷攻击,攻击者套利约60564枚APE:3月18日消息,BlockSec告警系统检测到APE空投遭受闪电贷攻击,攻击者套利了约60564枚APE代币,价值约40万美元。攻击者首先借用BAYC代币flashloan并赎回BAYC NFTs。然后BAYC NFTs被用于在Airdrop Grapes Token合约(0x025c6da5bd0e6a5dd1350fda9e3b6a614b205a1f)中索赔奖励。在获得奖励后,NFT将被归还并用于铸造BAYC代币,这些代币随后将用于偿还闪电贷款。[2022/3/18 14:04:48]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。