Niebla lenta: el contrato de muestra ERC721R tiene defectos, esencialmente debido al problema de la autoridad excesiva del propietario.

[Niebla lenta: el contrato de muestra ERC721R tiene fallas, esencialmente debido al problema de autoridad excesiva del propietario] Según las noticias del 12 de abril, según @BenWAGMI, la falla en el contrato de muestra ERC721R puede hacer que la parte del proyecto use este problema para realizar RugPull. Según el análisis preliminar del equipo de seguridad de SlowMist, esta falla se debe esencialmente a la autoridad excesiva del propietario.En el contrato de muestra ERC721R, el propietario puede establecer arbitrariamente la dirección NFT que recibe el reembolso del usuario a través de la función setRefund Address .

Cuando la dirección de devolución tiene el NFT de destino, puede realizar operaciones de reembolso de forma continua llamando a la función de reembolso para agotar los fondos de compra bloqueados por el usuario en el contrato. Y hay una función de acuñación del propietario en el contrato de muestra, el propietario puede acuñar cuando la acuñación de NFT no alcanza el suministro total. Por lo tanto, la realización de ERC721R sigue siendo para prevenir caballeros pero no villanos. El equipo de seguridad de SlowMist recomienda que los usuarios realicen una evaluación de riesgos al participar en NFTmint, independientemente de si la parte del proyecto usa ERC721R o no.

Otras noticias:

Slow Mist: la dirección relacionada con Dios V vendió recientemente 3000 Ethereum en Uniswap: el 14 de noviembre, según el seguimiento de Slow Mist, la dirección de Vitalik Buterin, el fundador de Ethereum (comenzando con 0xe692), vendió recientemente 3000 Ethereum en tres transacciones en Uniswap V3.1 Ethereum (aproximadamente 4 millones de dólares estadounidenses) se convirtió en USDC. [2022/11/14 13:03:22]

Slow Mist: GenomesDAO Hacked Breve análisis: Según el hacktivista en el área de Slow Mist, el proyecto @GenomesDAO en MATIC fue atacado por piratas informáticos, lo que resultó en un retiro inesperado de fondos en su contrato LPSTAKING. El equipo de seguridad de SlowMist realiza el análisis por las siguientes razones:

1. Dado que la función inicializada del contrato LPSTAKING de GenomesDAO se puede llamar públicamente y no tiene permiso y no se puede inicializar repetidamente, el atacante usa la función inicializada para establecer el StakingToken del contrato en un token LP falso creado por el atacante.

2. Luego, el atacante usa la función de participación para hipotecar tokens LP falsos para obtener una gran cantidad de certificados hipotecarios LPSTAKING.

3. Después de obtener el certificado, configure el StakingToken del contrato en el token LP real original a través de la función de inicialización nuevamente, y luego destruya el certificado LPSTAKING a través de la función de retiro para obtener la garantía LP real en el contrato.

4. Finalmente, envíe LP a DEX para eliminar liquidez y obtener ganancias.

Este incidente se debe a que el contrato LPSTAKING de GenomesDAO se puede inicializar de manera arbitraria y repetida para establecer parámetros clave, lo que resulta en el agotamiento malicioso de la garantía en el contrato. [2022/8/7 12:07:06]

Niebla lenta: el error del software Let's Encrypt conduce a la revocación de 3 millones de certificados el 4 de marzo: Let's Encrypt Debido a un error en el código de back-end, el proyecto Let's Encrypt revocará más de 3 millones de certificados TLS. Los detalles son que el error afectó a Boulder, el software de servidor utilizado por el proyecto Let's Encrypt para verificar usuarios y sus dominios antes de emitir certificados TLS. El equipo de seguridad de SlowMist recuerda: Muchos sitios o sistemas internos en la industria de la moneda digital utilizan los certificados autofirmados de Let's Encrypt con fines de seguridad; confirme a tiempo si están afectados. Si se ve afectado, actualice el certificado a tiempo para evitar riesgos impredecibles. Los usuarios pueden consultar el enlace original para verificar en línea si el certificado está afectado. [2020/3/4]