[黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado]今日8时04分(HKT),BSC链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。据欧科云链链上天眼初步分析:
1、攻击者资金来自PancakeSwap的闪电贷;
2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法,该方法未校验代币数组参数address memory _tokens是否和pid参数指向的LP相吻合,在涉及到LP数额变化时,也未加重入锁。
目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01 BNB(约112.58万美元),另有235.45 ETH(约60.86万美元)通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金(230 ETH)已流入Tornado Cash。
该事件提醒我们,在涉及到金额变动的合约方法中,一定要关注重入漏洞,尽量使用重入锁modifier。
链上天眼团队已对相关地址进行了监控,并将进一步跟进事件进展。
动态 | 朝鲜黑客利用假冒加密货币交易软件来劫持苹果macOS:安全研究人员发现,朝鲜黑客组织Lazarus现在正在使用由一家打着幌子的公司创建假冒的加密货币交易软件。黑客们似乎建立了一个名为JMT Trading的幌子公司,并编写了一个附带的开源加密货币交易应用程序,其中代码托管在GitHub。
Mac安全专家Patrick Wardle表示,JMT Trading软件的代码中有段恶意代码,可让攻击者在目标设备上“远程执行命令”,也就是黑客可以完全控制受感染的macOS系统,在受害者电脑上进行任何操作。事实上,JMT Trading只是Lazarus只是重新应用了其此前的策略,之前该黑客组织它将恶意代码植入看似合法的应用。(新浪财经)[2019/10/15]
动态 | 俄罗斯黑客利用比特币购买服务器来隐藏其踪迹:据CCN消息,近日美国负责调查\"俄罗斯干预美国大选\"的特别检察官罗伯特·穆勒起诉了12名俄罗斯黑客嫌疑人,调查显示这些黑客曾利用比特币购买服务器,试图在网络上“销声匿迹”;而当他们踪迹被曝光之后,调查人员还发现了他们的证据。[2018/7/16]
韩国交易所加密货币被盗:黑客利用传统的邮件恶性代码:据中央日报报道,韩国科学技术信息通信部和韩国互联网振兴院正在对Coinrail、Bithumb交易所被盗事件进行调查,黑客利用的手段初步定为邮件恶性代码。科学技术信息通信部已确认Coinrail、Bithumb交易所被盗事件发生前全体员工收到大量邮件,通过恶性代码攻击了交易所的热钱包。交易所的部分加密货币(10~20%)保存在热钱包,而大部分加密货币(80~90%)保存在断开互联网的冷钱包。科学技术信息通信部在年初调查21个交易所的安全情况时,发现18个交易所加密货币钱包和钥匙的安全管理欠妥,17个交易所不具有异常状态监督体系。[2018/6/21]
郑重声明: 黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。