[安全团队:@HameerHideout Discord服务器再次遭到黑客入侵]金色财经消息,据CertiK Alert数据监测,@HameerHideout官方Discord服务器再次遭到黑客入侵,警告用户不要点击任何链接,或批准任何交易。
其它快讯:
安全团队:跨链DEX聚合器Transit Swap因任意外部调用问题被黑,被盗资金规模超2300万美元:10月2日消息,据慢雾安全团队情报,2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击,导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元,黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析:
1. 当用户在Transit Swap进行swap时,会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。
2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入,本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。
3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作,但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入,路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。
4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址,未对 calldata 数据进行具体检查。
5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据,此时兑换合约被指定为权限管理合约地址,兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。
此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。
截止到目前,黑客已将 2,500 BNB 转移到 Tornado Cash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]
Illuvium组建安全团队并聘请Quantstamp、PeckShield和白帽Samczun完成额外审计:3月24日消息,RPG链游Illuvium表示正在组建安全团队、突发事件响应团队以及建立相关安全流程,其中安全团队负责人为核心贡献者Cag,Cag此前任职于Mozilla和Atlassian。另外,Illuvium还与外部网络安全平台Zerofox建立了合作关系,以避免网络钓鱼攻击、假冒域名和数据泄露等恶意行动,打击伪装成Illuvium或Illuvium相关的网络钓鱼网站和社交账户。Illuvium还为其智能合约进行了额外审计,包括Quantstamp、PeckShield和白帽Samczun,还将通过Immunefi启动漏洞赏金计划。去年12月底,Illuvium的Discord遭到入侵,大约41个钱包的15万美元资产被盗,今年1月份,Illuvium在其质押合约发现漏洞,导致攻击者铸造了无限量的sILV,之后该漏洞在StakingV2合约中得以修复。[2022/3/24 14:15:55]
太壹科技交易所安全团队:超过90%的交易所被这四大安全问题所困:本周三晚,太壹科技&优盾钱包系列课程-《如何彻底解决交易所安全》顺利结束。
针对困扰超过90%交易所的四大交易所安全问题——访问安全、系统安全问题、系统资金安全问题、用户资金安全问题,太壹科技CTO章亚亮结合实际经验分享了解决思路:“交易所安全问题不是点而是面的问题。为了预防并攻克这4大类安全问题,太壹科技考虑到了一整套的周边情况,为交易所客户搭建了一套生态保护服务。”
未来太壹科技将陆续推出专业的风控产品、优盾3.0升级以及和业内知名安全厂商展开深入安全合作,打造出一个更加专业、安全、有温度的交易所平台。
优盾钱包,是一款企业级交易所钱包管理系统,以安全完善的技术重新定义数字资产钱包,为比特币、以太坊等100多种币种提供API接入;顶级私钥BOSS自主掌握,子私钥动态计算不触网,硬件加持,纯冷操作;多级财务审核策略,资产动向、操作日志一目了然;海量地址统一管理,余额一键自动归集。[2020/7/30]
郑重声明: 安全团队:@HameerHideout Discord服务器再次遭到黑客入侵版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。