Equipo de seguridad: el ataque Flurry Finance explotó el mecanismo de rebase de RhoToken

[Equipo de seguridad: El incidente de ataque de Flurry Finance utilizó el mecanismo de rebase de los tokens RhoToken] El 25 de abril, el equipo de seguridad de la cadena de bloques de Cobo analizó el incidente de ataque de Flurry Finance y descubrió que este ataque es similar a la clásica máquina Oracle de manipulación de préstamos flash El método de ataque es diferente, pero usa el mecanismo de rebase del token RhoToken en Flurry Finance. La razón esencial de la vulnerabilidad es que la fórmula para calcular el multiplicador cuando el protocolo cambia la base de RhoToken se basa en datos controlables externamente (la cantidad de tokens en el banco). Como resultado, el atacante se dio cuenta de la manipulación del multiplicador a través del préstamo flash y luego obtuvo una ganancia. Aunque este ataque usó la técnica de forjar ERC20 para reescribir el método de aprobación y luego usar el contrato StrategyLiquidate de Rabbit Finance para ejecutar código arbitrario, el código del contrato involucrado en esta técnica en realidad no tiene problemas de seguridad. El equipo de seguridad de blockchain de Cobo recuerda que los desarrolladores deben prestar especial atención a si el contrato depende de algunos datos externos que pueden ser manipulados maliciosamente al calcular la cantidad y el precio de los activos. El modo de ataque típico del oráculo de manipulación de préstamos flash en realidad es causado por el cálculo de algunos indicadores clave en el proyecto que se basan en el precio de los tokens en el grupo DEX.

Según noticias anteriores, el 22 de febrero, Flurry Finance en la cadena BSC fue atacada por un préstamo relámpago, lo que resultó en el robo de activos por valor de cientos de miles de dólares en el contrato Vault del acuerdo.

Otras noticias:

Equipo de seguridad: existe el riesgo de propuestas maliciosas en el proyecto yVaren. Se solicita a los usuarios que presten atención a la protección de la seguridad de los fondos: Jinse Finance News, información de miembros de la comunidad de Chengdu Lianan muestra que alguien en el proyecto yVaren inició un intento malicioso propuesta (ID de propuesta: 0). El equipo de seguridad de Chengdu Lianan analizó y encontró que: a través de esta propuesta, todos los tokens VRN en la bóveda del proyecto yVaren se pueden autorizar al proponente (0xc59d7e226c8f222e2142bf0f4b3efa83370f8cab). Si se implementa la propuesta, el proponente puede transferir todos los tokens VRN en la bóveda. En la actualidad, la propuesta aún no se ha implementado, preste atención para proteger la seguridad de los fondos.

Según informes anteriores, Varen dijo que un actor malicioso tiene la intención de vaciar la bóveda desactivada, y VRN prometió que los usuarios deberían retirarse lo antes posible. [2022/8/15 12:26:16]

Equipo de seguridad: se produjo un tirón de alfombra en el proyecto GEMDAO, lo que le quitó 322BNB: Jinse Finance informó que, según las noticias del equipo de seguridad de Chengdu Lianan, se produjo un tirón de alfombra en GEMDAO, y el propietario del contrato llamó a la función de transferencia () con una puerta trasera para aumentar su saldo de GEMDAO de la nada, y luego usó El GEMDAO agregado intercambiará el WBNB en la piscina. Cuando el destinatario de la función de transferencia () es el propietario, aumentará directamente su propio saldo. La parte del proyecto se llevó un total de 322BNB (alrededor de 105.553,49 dólares estadounidenses), y el equipo de seguridad de Chengdu Lianan está monitoreando los fondos robados en tiempo real. [2022/8/14 12:24:09]

Equipo de seguridad: Discord de UglyPeopleNFT fue pirateado: noticias del 17 de abril, el sistema de alarma BlockSec descubrió que el proyecto de discordia de UglyPeopleNFT fue pirateado a las 5:50 p. enlace falso falso en . [2022/4/17 14:29:43]