Cobo区块链安全团队就FlurryFinance攻击事件进行了分析,发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同,而是利用了FlurryFinance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵,进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用RabbitFinance的StrategyLiquidate合约来执行任意代码的技巧,但这个技巧涉及到的合约代码本身其实并不存在安全问题。Cobo区块链安全团队提醒,开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。此前消息,2月22日,BSC链上的FlurryFinance遭到闪电贷攻击,导致协议中Vault合约中价值数十万美元的资产被盗。
Cosmos核心开发商Informal Systems完成530万美元融资:6月7日消息,Cosmos核心开发商Informal Systems完成530万美元融资,CMCC Global领投,参投方包括Nascent、Maven11以及来自Celestia和Eigen Layer的个人投资者。本轮融资将用于推动公司的安全审计部门Informal Security的发展。[2023/6/8 21:22:38]
某Telegram频道宣传针对macOS的信息窃取器AMOS,可窃取Electrum、币安等加密软件信息:4月28日消息,一个Telegram频道在宣传一种名为Atomic macOS Stealer(AMOS)的新型信息窃取恶意软件,该软件专门针对macOS而设计,可以从受害者的机器上窃取各种类型的信息,包括keychain密码、完整的系统信息、桌面和文档文件夹中的文件,甚至是macOS密码。该窃取程序旨在针对多个浏览器,并可以提取自动填充、密码、cookie、钱包和信用卡信息。具体来说,AMOS可以针对Electrum、Binance、Exodus、Atomic和Coinomi等加密钱包。
此外,AMOS还提供管理受害者的Web面板,用于窃取助记词和私钥的MetaMask暴力破解,加密检查器和dmg安装器,之后通过Telegram分享日志。这些服务的价格为每月1000美元。[2023/4/29 14:33:59]
Cosmos Hub将于3月15日进行V9 Lambda升级,将激活Replicated Security功能:3月8日消息,Cosmos Hub发推称,v9 Lambda升级提案已经投票通过,支持率达99.48%。V9 Lambda升级将于3月15日进行。
根据该提案,本次升级旨在激活Replicated Security功能,这将强制执行链间安全性(ICS)的良好运行规则。Replicated Security功能可将Cosmos Hub的安全性复制到消费者链,并监控对规则的遵守情况,消费者链可以从Cosmos Hub的安全性中受益,而不必维护自己的验证者。[2023/3/8 12:49:01]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。