慢雾:上周(4月22日-4月28日)安全事件损失总额超215万美元

[慢雾:上周(4月22日-4月28日)安全事件损失总额超215万美元]金色财经报道,据慢雾发布的每周安全报告(2024年4月22日-4月28日),本周又发生了多起安全事故。总体损失并不严重,本周总损失超过2,155,127美元。多起安全事件包括:

1.Ember Sword NFT拍卖被利用:未经验证的Ember Sword NFT拍卖中存在漏洞,导致159名受害者损失了60枚WETH,价值约为195,000美元。

2.Pike Finance的跨链攻击:跨链借贷协议Pike Finance遭到黑客攻击,导致USDC池资金耗尽,损失总计299,127美元。

3.xBank Finance被怀疑存在欺诈行为:zkSync生态借贷平台xBank Finance被怀疑存在欺诈行为,官方账户被冻结,流动性资产降至个位数

。4.io(.)net元数据泄露:该项目经历了一起安全事件,涉及未经授权的元数据更新,源于用户ID到设备ID的映射被利用。

5.BSC上的YIEDL被利用:币安智能链上的YIEDL项目遭到攻击者利用合约漏洞攻击,造成约30万美元损失。

6.FENGSHOU代币漏洞:部署后不久,FENGSHOU(NGFS)代币就遭到攻击,造成约19.1万美元的损失。

7.Z123合约被利用:币安智能链上的Z123因合约漏洞遭受攻击,损失约13.6万美元。

8.Magpie Protocol合约漏洞:去中心化流动性聚合协议Magpie Protocol因合约漏洞遭遇攻击,导致221个钱包损失12.9万美元。

9.Velvet Capital的前端攻击:DeFi资产管理协议Velvet Capital的交易平台报告出现异常活动。

10.Merlin Chain的Discord入侵:Merlin Chain的官方Discord服务器遭到攻击。

11.XBridge的可疑交易:跨链桥XBridge发生多起可疑交易,共计损失82.4万美元。

其它快讯:

慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:

1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。

综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 10:09:08]

慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。

当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 22:07:34]

慢雾:Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报,2022年1月18日,bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示,此次攻击是由于setTrustedForwarder函数未做权限限制,且在获取调用者地址的函数_msg.sender()中,写了一个特殊的判断,导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 23:52:35]

郑重声明: 慢雾:上周(4月22日-4月28日)安全事件损失总额超215万美元版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:46ms0-2:63ms