慢雾:警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险

[慢雾:警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险]据慢雾区消息,Honeyswap官方推特发文,Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官网仍未删除该恶意地址,请立即停止使用Honeyswap进行交易,到revoke.cash排查是否有approvals 交易到恶意地址,避免不必要的损失。

其它快讯:

慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;

2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;

3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;

5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;

7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;

9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

动态 | 慢雾:Cryptopia被盗资金发生转移:据慢雾科技反(AML)系统监测显示,Cryptopia攻击者分两次转移共20,843枚ETH,价值超380万美元。目前资金仍停留在 0x90d78A49 和 0x6D693560 开头的两个新地址,未向交易所转移。据悉,今年早些时候加密货币交易所Cryptopia遭受了黑客攻击,价值超过1600万美元的以太坊和ERC-20代币被盗。[2019/11/17]

分析 | 慢雾:韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盗 20,000,000 枚 XRP(价值 $6,000,000),通过慢雾安全团队的进一步分析,疑似攻击者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 时间 03/29/2019?13:46 新建并激活,此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包(g4ydomrxhege)疑似被黑,损失 3,132,672 枚 EOS,且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

郑重声明: 慢雾:警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • 币安将推迟UST合约置换计划

    [2022-5-11 3:06:59]5月11日消息,币安将推迟UST(Shuttle)与UST(Wormhole)的合约置换,现已恢复UST(Shuttle)在BNBChain(BEP20)、以太坊(ERC20)和Polygon网络的充值、提现业务,关...

  • RabbitHole:永远不会有RabbitHole空投

    [2022-5-9 2:59:33]5月9日消息,Web3 教程协议 RabbitHole 在其社交网站表示,永远不会有 RabbitHole 空投,我们专注于让 Web3 更多关注贡献和价值,而不是投资,如果您正在寻找快速致富的地方,Web3 中还有...

  • Pontem Network推出面向公链项目Aptos Move开发者的首款产品

    [2022-5-9 2:59:21]5月8日消息,去中心化应用程序Pontem Network宣布推出专注于公链项目Aptos的Move开发者的首款产品。Move Playground和Move lang IDE插件将降低障碍,让开发者体验Aptos的...

  • Ozworld化身已上线元宇宙身份平台Ready Player Me

    [2022-5-11 3:06:49]5月11日,据adidas Originals官方消息,Ozworld化身已上线元宇宙身份平台Ready Player Me,可通过其探索元宇宙。截止发稿,adidas Originals Into the Meta...

  • IMF:巴哈马的CBDC使用途径有限,需要提高网络安全性

    [2022-5-10 3:03:49]金色财经宝,国际货币基金组织(IMF)在周一发布的评论中表示,巴哈马的中央银行数字货币(CBDC)–Sand Dollar–需要更好的覆盖范围和更高的安全性才能实现其目标。在对加勒比国家经济和金融政策的调查中,IMF...

  • 慢雾:警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险

    [2022-5-10 3:03:22]据慢雾区消息,Honeyswap官方推特发文,Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ,目前官网仍未删除该恶意地址,请...

  • 韩国网络银行KakaoBank考虑与数字货币交易所合作

    [2022-5-8 2:58:48]5月8日消息,韩国最大网络银行KakaoBank正在考虑和数字货币交易所合作,该公司CEO李勇宇确认了该计划,其表示,由于加密货币是客户的主要资产,他们正在评估如何以有利的方式提供服务或业务形式的虚拟资产。在此消息前...

  • 美股三大指数集体高开 标普500指数涨1.54%

    [2022-5-10 3:04:39]5月10日消息,美股三大指数集体高开,道指涨1.13%,标普500指数涨1.54%,纳指涨2.47%。 其它快讯: 美股三大指数收盘均上涨 道指、标普500指数再创新高:道琼斯指数4月5日(周一)收盘...

  • KIKTOK WALLET即将发布去中心化社交平台Crypto Blog

    [2022-5-8 2:58:40]5月8日消息,由美国微软(Microsoft )核心架构师,计算机博士william young发起的KIKTOK WALLET作为WEB3.0的入口,将发布去中心化社交平台-Crypto Blog(链博)。 ...

  • “数字藏家”更名为“沃野” 上月已购入BAYC #3088

    [2022-5-11 3:05:01]金色财经报道,据上海热线消息,数字藏品交易平台“数字藏家”宣布正式更名为“Wow Yeah沃野”, 通过自主研发的数藏联盟链基于区块链技术为知识产权赋能,并持续探索元宇宙,促进元宇宙的发展及运用。据悉,Wow Yea...

  • Flow推出7.25亿美元生态基金,a16z等机构参与

    [2022-5-10 3:04:41]5月10日消息,由Dapper Labs开发,为下一代游戏、应用程序和数字资产提供支持的Web3平台Flow宣布推出7.25亿美元生态基金,该基金将专注于游戏、基础设施、DeFi,以及内容和创作者领域,旨在为Flow...

链链资讯

[0:15ms0-2:274ms