Equipo de seguridad: MAYC#8662 fue robado en un ataque a BAYC Discord

[Equipo de seguridad: MAYC #8662 fue robado en el ataque a BAYC Discord] El 1 de abril, se informó en Twitter que BAYC Discord fue atacado y Mutant Ape Yacht Club (mutant ape, MAYC) #8662 había sido robado. Según noticias anteriores, el Discord of Boring Ape BAYC fue pirateado y el equipo les recordó a los usuarios que no hicieran clic en el enlace; Jay Chou sufrió un ataque de phishing y le robaron 1 BAYC, 1 MAYC y 2 Doodles NFT que tenía.

Otras noticias:

Equipo de seguridad: el proyecto Victor the Fortune fue atacado por un préstamo rápido, y el atacante obtuvo una ganancia de alrededor de 58,000 dólares estadounidenses: según las noticias del 27 de octubre, según el monitoreo de CertiK, el proyecto Victor the Fortune fue atacado por préstamo flash, y el atacante obtuvo una ganancia de alrededor de 58,000 dólares estadounidenses, agotando el fondo de liquidez. Se recuerda a los usuarios que estén atentos. [2022/10/27 11:49:21]

Equipo de seguridad: existen lagunas en el método de verificación de transacciones entre cadenas de BSC Token Hub: según las noticias del 7 de octubre, según el monitoreo de la plataforma Beosin EagleEye, BSC Token Hub fue atacado por piratas informáticos el 7 de octubre. El equipo de seguridad de Beosin ahora analizará el método de la siguiente manera: Binance cross-chain Bridge BSC Token Hub utiliza un contrato precompilado especial para verificar el árbol IAVL al verificar transacciones entre cadenas. Sin embargo, hay una laguna en esta implementación, que puede permitir que un atacante falsifique mensajes arbitrarios.

1) El atacante primero selecciona el valor hash de un bloque enviado con éxito (bloque especificado: 110217401)

2) Luego construya una carga útil de ataque como un nodo de hoja en el árbol IAVL verificado

3) Agregar un nuevo nodo hoja arbitrario al árbol IAVL

4) Al mismo tiempo, agregue un nodo interno en blanco para satisfacer la prueba de realización

5) Ajuste el nodo de hoja agregado en el paso 3 para que el hash raíz calculado sea igual al hash raíz correcto seleccionado en el paso 1 para un envío exitoso

6) Finalmente construya la prueba de retiro de este bloque específico (110217401)

Beosin Trace rastrea en tiempo real los fondos robados. [2022/10/7 18:41:51]

Equipo de seguridad: Nirvana fue atacado por préstamos flash, preste atención a la seguridad de los activos: el 28 de julio, según SlowMist, el proyecto de moneda estable Nirvana en la cadena Solana fue atacado por préstamos flash. Los atacantes implementaron contratos maliciosos y utilizaron préstamos flash. Solend, luego llamó al método Nirvana contract buy3 para comprar una gran cantidad de tokens ANA, y luego llamó al método Nirvana contract swap para vender algo de ANA, y obtuvo USDT y USDC. Después de devolver el préstamo flash, la ganancia total fue de 3,490,563.69 USDT, 21,902.48 USDC y 393,230.32 tokens ANA, luego los piratas informáticos vendieron tokens ANA y transfirieron todo el dinero sucio a través del puente de cadena cruzada. El código fuente de Nirvana no es completamente de código abierto. Según el análisis del registro de llamadas en la cadena, el atacante puede haber explotado la vulnerabilidad de cálculo de precios de ANA para el arbitraje. Se recomienda a los usuarios relevantes que presten atención a la seguridad de los activos. [2022/7/28 2:43:46]