Niebla lenta: tenga cuidado con el riesgo de que la parte frontal de Honeyswap haya sido manipulada, lo que lleva a la aprobación de direcciones maliciosas

[Niebla lenta: tenga cuidado con el riesgo de que las aprobaciones vayan a direcciones maliciosas debido a la manipulación de la interfaz de Honeyswap] Según las noticias del Distrito de niebla lenta, el Twitter oficial de Honeyswap publicó que un error de interfaz en Honeyswap condujo a transacciones a una dirección maliciosa "0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B". Inmediatamente deje de usar Honeyswap para transacciones y vaya a revoke.cash para verificar si se intercambian aprobaciones a direcciones maliciosas para evitar pérdidas innecesarias.

Otras noticias:

Slow Mist: Multichain (AnySwap) fue pirateado debido a problemas relacionados con la función anySwapOutUnderlyingWithPermit: según las noticias anteriores de Multichain (AnySwap), el 18 de enero de 2022, se estaba explotando una vulnerabilidad clave que afectaba a 6 tokens de cadena cruzada. Después del análisis realizado por el equipo de seguridad de SlowMist, se debe principalmente a que la función anySwapOutUnderlyingWithPermit verifica la legitimidad del Token pasado por el usuario y no tiene en cuenta que no todos los tokens subyacentes implementan la función de permiso, lo que resulta en la transferencia no autorizada del usuario. activos. El equipo de seguridad de SlowMist sugiere: verifique si los parámetros ingresados ​​por el usuario cumplen con las expectativas y considere los problemas de compatibilidad al conectarse con otros contratos. [2022/1/19 8:57:49]

SlowMist: en la primera mitad de 2021, ocurrieron un total de 78 incidentes de seguridad de blockchain, con una pérdida total de más de 1.700 millones de dólares estadounidenses: según las estadísticas de SlowMist Blockchain Hacking Event Archives, en la primera mitad de 2021, el todo el ecosistema de blockchain ocurrió en total 78 incidentes de seguridad relativamente conocidos, que involucraron 50 de seguridad DeFi, 2 de seguridad de billetera, 3 de seguridad de cadena pública, 6 de seguridad de intercambio y 17 de otros incidentes relacionados con la seguridad, incluidos 27 en Ethereum, Binance Smart Chain (BSC), 2 casos en Polygon, 1 caso cada uno en Huobi Ecological Chain (HECO), Polkadot Ecosystem y EOS.

Según el seguimiento y análisis de los fondos involucrados por SlowMist AML, el atacante transfirió aproximadamente el 60 % de los fondos a la plataforma de divisas mixtas y aproximadamente el 30 % de los fondos al intercambio. Por la presente, el equipo de seguridad de SlowMist recomienda que los usuarios aumenten su conciencia y vigilancia sobre la seguridad, y elijan proyectos confiables que hayan pasado auditorías de seguridad para participar; las partes del proyecto deben mejorar continuamente sus propios factores de seguridad y solo conectarse en línea después de pasar la auditoría de un profesional de seguridad. agencia de auditoría para evitar pérdidas; Todos los intercambios deben aumentar la supervisión contra el lavado de dinero y tomar más medidas enérgicas contra las actividades ilegales como el lavado de dinero utilizando transacciones de activos encriptados. [2021/7/1 0:20:42]

SlowMist: el módulo Value DeFi vSwap del proyecto BSC fue pirateado Breve análisis: según la inteligencia del Distrito SlowMist, el módulo vSwap del proyecto Binance Smart Chain Value DeFi fue pirateado.

1. El atacante primero usa 0.05 WBNB para intercambiar tokens vBSWAP a través del contrato vSwap;

2. El atacante también realiza la operación de préstamo flash al mismo tiempo que el intercambio, por lo que el contrato vSwap transferirá los tokens vBSWAP intercambiados y el WBNB prestado por el préstamo flash al atacante;

3. Antes de completar todo el proceso de intercambio y actualizar la cantidad de tokens en el grupo, se seleccionarán diferentes algoritmos según si el parámetro tokenWeight0 del grupo es 50 para verificar si la cantidad de tokens en el grupo cumple con las expectativas;

4. Dado que el parámetro tokenWeight0 del contrato vSwap está establecido en 70, el segundo algoritmo se utilizará para verificar la cantidad de tokens en el grupo;

5. El punto clave de la vulnerabilidad es que cuando se usa el segundo algoritmo para la inspección, la inspección puede pasar a través de datos especialmente construidos;

6. El segundo algoritmo se verifica llamando a la función sureConstantValue del contrato de fórmula y pasando la cantidad de tokens almacenados en caché en el grupo y la cantidad de tokens en tiempo real;

7. Después de un análisis específico y la depuración de este algoritmo, podemos encontrar que al usar WBNB para intercambiar la unidad más pequeña (es decir, 0.000000000000000001) vBSWAP, existe un rango de fluctuación enorme entre el valor WBNB almacenado en caché en el grupo y el tiempo real. valor Esta verificación de algoritmo pasará dentro de este rango;

8. Por lo tanto, el atacante puede transferir a WBNB para intercambiar la unidad más pequeña de tokens vBSWAP y, al mismo tiempo, prestar una gran cantidad de tokens WBNB en el grupo a través de préstamos flash. Debido a problemas de algoritmo, aún se puede hacer sin devolver los préstamos flash Pase el cheque vSwap;

9. El atacante solo necesita repetir este proceso en todos los grupos de vSwap para robar la liquidez en los grupos y obtener ganancias. Vea el enlace original para más detalles. [8/5/2021 21:37:37]