[慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险,请迅速取消授权]金色财经报道,据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。
截止目前,Rabby Swap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。
其它快讯:
慢雾首席信息安全官:近期多起供应链攻击或由同一团伙所为,目标为加密货币产业:8月26日消息,慢雾首席信息安全官(Twitter ID 为 @IM_23pds)在 Twitter 上表示,近期多起供应链攻击或由同一团伙所为,受影响的服务商包括 Lastpass、Twilio、Okta、Cloudfare,且该团伙目标应为加密货币产业。[2022/8/26 12:49:39]
慢雾余弦:SushiSwap仿盘项目KIMCHI项目方权限过大可任意铸币:9月2日消息,慢雾创始人余弦发微博分析,SushiSwap仿盘项目KIMCHI(泡菜)项目方确实拥有任意铸币的权限,只是如果项目方要任意铸币,至少需要等待2天时间。对接泡菜的平台可以观测泡菜厨师的devaddr地址是否变更为泡菜厨师的当前owner地址。[2020/9/2]
声音 | 慢雾科技余弦:攻击者通过同样的手机号搞定目标用户在 Coinbase 上的权限:慢雾科技创始人余弦针对最近数字货币交易平台的 SIM 卡转移攻击发文称,前些天有人的 Coinbase 账号遭遇了 SIM Port Attack(SIM 卡转移攻击),损失了超过 10 万美金的数字货币,很惨痛。攻击过程大概是:攻击者通过社会工程学等手法拿到目标用户的隐私,并到运营商得到一张新的 SIM 卡,然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。SIM 都被转移了,这就很麻烦了,基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的弱点。这个攻击以前在国内也有不少案例,运营商的风控策略也越来越强大,但策略这东西总是有绕过方式,这种方式主要就是社会工程学,当然也不排除其他方式的结合。不是我不信任运营商或中心化服务,而是这种重要的资产,大家要更加谨慎了,大额的数字货币是不是应该有更安全的存放方式?相关平台的安全风控策略是不是也该多琢磨如何再提升提升?[2019/5/27]
郑重声明: 慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险,请迅速取消授权版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。