Análisis de Beosin del evento de ataque de Reaper Farm: la dirección del propietario en _withdraw es controlable y no se realiza ningún control de acceso

[Análisis de Beosin del evento de ataque de Reaper Farm: la dirección del propietario en _withdraw es controlable sin ningún control de acceso] El 2 de agosto, según los datos de monitoreo de opinión pública de Beosin EagleEye, el proyecto Reaper Farm fue pirateado y el equipo de seguridad de Beosin descubrió que el La dirección del propietario en _withdraw se puede controlar sin ningún control de acceso, lo que da como resultado que cualquier activo del usuario se pueda retirar llamando a la función de retiro o canje. El atacante (que comienza con 0x5636) usó el contrato de ataque (que comienza con 0x8162) para retirar los fondos de los usuarios a través del contrato vulnerable (que comienza con 0xcda5) y obtuvo ganancias acumuladas de 62 ETH y 1,6 millones de DAI, por un valor aproximado de $1,7 millones. El atacante (comenzando con 0x2c17) ha pasado La cadena transfiere todos los fondos ganadores a Tornado.Cash.

Otras noticias:

Beosin: un breve análisis del incidente de piratería del proyecto UVT. Todos los fondos robados se transfirieron a Tornado Cash: Jinse Finance informó que, según la plataforma de monitoreo y advertencia de seguridad Beosin EagleEye, el proyecto UVT fue pirateado, lo que involucró una cantidad de 1,5 millones de dólares estadounidenses. La transacción de ataque es 0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

Después del análisis realizado por el equipo de seguridad de Beosin, se descubrió que el atacante utilizó primero el método 0xc81daf6e de otro contrato implementado por el desarrollador con permiso de Controlador, que llamaría al método 0x7e39d2f8 del contrato atacado. Debido a que el contrato tiene permiso de Controlador, fue transferido directamente a través de la verificación El equipo de seguridad de Beosin rastreó todos los tokens UVT en el contrato atacado a través de Beosin Trace, y se descubrió que todos los fondos robados se habían transferido a Tornado Cash. [2022/10/27 11:48:46]

Noticias | Chengdu Lianan lanzó la investigación de activos virtuales Beosin-AML y la recopilación de pruebas y el sistema de cumplimiento contra el lavado de dinero: para ayudar a los proveedores de servicios de activos virtuales (VASP) a monitorear los riesgos de las transacciones, implementar procedimientos de cumplimiento contra el lavado de dinero y ayudar a las autoridades reguladoras a supervisar el implementación de procesos de cumplimiento de VASP Para ayudar a las agencias de aplicación de la ley a recopilar evidencia rápidamente en casos de delitos de activos virtuales y brindar asistencia técnica a las víctimas, Chengdu Lianan Technology lanzó Beosin-AML, un sistema visual de monitoreo e investigación de cumplimiento de activos virtuales y análisis de recopilación de evidencia. El servicio de asistencia técnica se inicia en el sistema. Después de que la víctima haya robado monedas o haya participado accidentalmente en proyectos ilegales como correr la carretera, financiar, etc., puede enviar información relevante en el sitio web, y la plataforma llevará a cabo una investigación, análisis, seguimiento y otros servicios de recopilación de pruebas. Chengdu Lianan Beosin-AML investigación de activos virtuales y recopilación de pruebas y sistema de cumplimiento contra el lavado de dinero recopila datos de transacciones en la cadena, analiza delitos de criptomonedas e incidentes de seguridad, y analiza exhaustivamente los riesgos de cumplimiento y seguridad de las transacciones en la cadena en combinación con modelos de aprendizaje automático . Ayude a la industria de la cadena de bloques a establecer una ecología de aplicaciones legal y compatible. [2019/12/10]

Análisis | Advertencia de Beosin: Cierto contrato de juego está bajo ataque: Advertencia de Beosin (Chengdu Lianan): A partir de las 3:04 de esta tarde, según la detección del sistema de conciencia de la situación de seguridad de la cadena de bloques de Chengdu Lianan, Beosin-Eagle Eye, los piratas informáticos están llevando a cabo una ataque de vellón en el contrato de poker****. Después del análisis realizado por el equipo técnico de Chengdu Lianan, la cuenta del pirata informático implementó el contrato de ataque y, a través de una gran cantidad de notificaciones onerror, el método de cálculo previo de los resultados de la lotería en el onerror continuó haciendo que una gran cantidad de subcuentas ganaran. premios Cada cuenta obtendrá 0.05EOS y transferirá las recompensas a la cuenta principal del atacante. Chengdu Lianan recuerda a todas las partes del proyecto que estén atentas, refuercen las precauciones de seguridad y se comuniquen con las empresas de seguridad para obtener servicios de seguridad cuando sea necesario para evitar pérdidas innecesarias de activos. [2019/5/23]