据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题,接下来以快讯的形式分享给大家,供大家参考分析。
慢雾:Grafana存在账户被接管和认证绕过漏洞:金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。[2023/6/25 21:58:31]
本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。
MFIL兑换量2日突破3万:据官方消息,5月8日20时Fido开启百万空投活动,截止发文前Heco数据查询MFIL兑换数量3.2w枚,首轮空投奖励于5月10日24:00前发放。同时Fido社区热度及参与度增长,为了让更多用户参与此次空投活动。官方决定将于5月11日8:00开启第二轮空投,快照截取时间为5月14日20时,同时根据全网MFIL兑换总量,按比例发放最终FIDO空投奖励,并补发首轮参与用户空投奖励。
Fido是结合实体的DAPP,是在Heco链搭建的Filecoin云算力交易平台。[2021/5/10 21:45:33]
慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。
1475:FIL质押币是短期挑战,长期将回归算法和数据:11月1日消息,面对当下市场质押币空前紧张的局面。技术服务商1475表示,短期来看,各矿商算力的增长目前确实主要受质押币数量不足制约,算法和效率上的差别并未显著表现,当下主要考验矿商质押币的市场整合调度能力。因此短期算力变化并不能全部反映矿商的技术实力。随着FIL流通量的逐步增加,未来重点将回归算法和数据,挖矿是相对长期行为,在现有FIL的奖惩机制下,矿工在解决眼下问题的同时,不应忽视中长期由算法和数据导致的长期效率差别。[2020/11/1 11:22:44]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。