[安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查]据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。
分析 | 安全公司:Hermit此次攻击主要针对区块链、数字货币等:腾讯安全御见威胁情报中心称,再次监测到Hermit(隐士)继续针对朝鲜半岛进行的APT攻击活动。通过分析和溯源,发现本次攻击活动主要针对区块链、数字货币、金融目标等,但是我们也发现了同样针对外交实体的一些攻击活动。技术手段类似,但是也有一定的更新,如通过下载新的doc文档来完成后续的攻击以及使用AMADEY家族的木马。而最终目标依然为运行开源的babyface远控木马。此外,传统的Syscon/Sandy家族的后门木马也依然活跃[2019/5/26]
声音 | 网络安全公司Vectra:大学生挖矿易遭受黑客恶意攻击:据Cryptoglobe消息,美国宾夕法尼亚州立大学毕业生Patrick Cines近日透露,他在本科期间用加密货币挖矿获取收入。对于这种现象,网络安全公司Vectra表示,大学生进行加密货币挖矿易遭受黑客的恶意攻击。黑客可能会利用大型挖矿机器对其发起网络攻击,劫持他们的计算机资源。[2018/8/13]
动态 | 安全公司:Solidity缺陷易使合约状态失控:安比( SECBIT)实验室在 BancorLender合约中发现野指针问题。该合约中的一个状态变量会意外地被另一个函数修改,偏离原本设计意图。目前项目方不明确。建议项目方应立即废弃该合约,并重新发布修复后的合约。野指针问题是 Solidity语言的最初设计欠缺考虑,而且 Solidity编译器为了向前兼容,对这类安全问题仅采取警告提示,而开发者往往又很容易忽视这些提示,最终导致问题代码部署上线。[2018/8/6]
郑重声明: 安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。