Chengdu Lianan: la cantidad robada de la fortaleza se convirtió en 1048 y se transfirió a Tornado Cash

[Chengdu Lianan: la cantidad robada de la fortaleza se convirtió en 1048 y se transfirió a Tornado Cash] Según las noticias del 9 de mayo, según los datos de monitoreo de la opinión pública de seguridad de Chengdu Lianan, la fortaleza fue atacada por la manipulación de precios del oráculo, y la cantidad robada ha ha sido convertido a 1048th y transferido a Tornado Cash. Según el análisis realizado por el equipo técnico de Chengdu Lianan, el motivo de este ataque es que en la función de envío de precios del contrato de cadena de fuente de datos de la máquina de oráculo FortressPriceOracle del proyecto de fortaleza, el código de verificación de autoridad del remitente de precios es comentado, para que cualquier dirección pueda enviar los datos del precio. El atacante aprovechó esta vulnerabilidad para enviar un precio FST sobredimensionado, lo que provocó que se manipulara el cálculo del valor de la garantía y luego tomó prestados todos los tokens del proyecto.

Transacción de ataque: 0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

Dirección del atacante: 0xa6af2872176320015f8ddb2ba013b38cb35d22ad

Contrato del atacante: 0xcd337b920678cf35143322ab31ab8977c3463a45

Otras noticias:

Chengdu Lianan: la cantidad robada de la fortaleza se convirtió en 1048th y se transfirió a Tornado Cash: según las noticias del 9 de mayo, según los datos de monitoreo de la opinión pública de seguridad de Chengdu Lianan, la fortaleza fue atacada por la manipulación de precios del oráculo, y la cantidad robada ha sido convertido en 1048th y transferido a Tornado Cash. Según el análisis realizado por el equipo técnico de Chengdu Lianan, el motivo de este ataque es que en la función de envío de precios del contrato de cadena de fuente de datos de la máquina de oráculo FortressPriceOracle del proyecto de fortaleza, el código de verificación de autoridad del remitente de precios es comentado, para que cualquier dirección pueda enviar los datos del precio. El atacante aprovechó esta vulnerabilidad para enviar un precio FST sobredimensionado, lo que provocó que se manipulara el cálculo del valor de la garantía y luego tomó prestados todos los tokens del proyecto.

Transacción de ataque: 0x13d19809b19ac512da6d110764caee75e2157ea62cb70937c8d9471afcb061bf

Dirección del atacante: 0xa6af2872176320015f8ddb2ba013b38cb35d22ad

Contrato del atacante: 0xcd337b920678cf35143322ab31ab8977c3463a45[2022/5/9 3:00:21]

Chengdu Lianan: Visor Finance fue atacado análisis de eventos: según el monitoreo de Chengdu Lianan, Visor Finance fue atacado a las 10:18 p. m. del 21 de diciembre de 2021, hora de Beijing. Según el análisis del equipo técnico de Chengdu Lianan, este ataque explotó dos vulnerabilidades del RewardsHypervisor del contrato de minería hipotecaria del proyecto Visor Finance:

1. La llamada no limita el contrato de destino, el atacante puede llamar a cualquier contrato y hacerse cargo del proceso de ejecución del contrato de minería hipotecaria; <- la laguna principal, la causa raíz de este ataque. 2. La función no está protegida contra ataques de reingreso; <- una vulnerabilidad menor, que provocó un error en el cálculo del número de certificados colaterales, no es el principal punto de uso de este ataque, pero también puede usarse para lanzar un ataque solo. En respuesta a estos dos problemas, Chengdu Lianan sugiere que la parte del proyecto debe hacer las dos cosas siguientes: 1. Al solicitar contratos externos, se recomienda agregar una lista blanca para prohibir las solicitudes de contratos arbitrarios, especialmente los contratos clave que pueden controlar la proceso de ejecución del contrato Llamada 2. La función está bien protegida contra la reentrada, se recomienda utilizar el contrato ReentrancyGuard de openzeppelin. [2021/12/22 7:55:18]

Dinámica | Chengdu Lianan: en octubre se produjeron un total de 5 incidentes de seguridad típicos más: según las estadísticas de Chengdu Lianan Situational Awareness Platform - Beosin Eagle-Eye, en el último mes (octubre), se produjeron un total de 5 incidentes típicos más de seguridad incidentes Estos incluyen: 1. Hubo dos ataques en la cadena EOS este mes: uno fue un ataque EOS falso y el otro fue un problema de parámetros de análisis del servidor del juego. 2. La plataforma de servicios en la nube de Amazon, AWS, estuvo expuesta a un ataque DDoS y se vio obligada a interrumpir el servicio. 3. Safuwallet, una billetera web de criptomonedas, fue pirateada mediante la inyección de un código malicioso para robar una gran cantidad de fondos y causar un desastre en Binance. 4. Los activos robados de Cryptopia comenzaron a transferirse: parte de ETH fluyó hacia Compound, una conocida plataforma de préstamos DeFi, y varios ETH fluyeron hacia un proyecto DApp llamado DeFi 2.0. En vista de la nueva situación actual de la seguridad de la cadena de bloques, Beosin Chengdu Chainan recuerda a todas las plataformas de la cadena que mejoren la conciencia de seguridad, presten atención a los diversos tipos de riesgos de seguridad y busquen la cooperación de las empresas de seguridad cuando sea necesario, y utilicen el soporte técnico de terceros para solucionar las lagunas de seguridad y fortalecer la línea de defensa de seguridad; cada proyecto de billetera debe realizar una revisión de seguridad adicional, mejorar conscientemente la seguridad de la arquitectura del sistema del proyecto y establecer un mecanismo de respuesta de emergencia sólido. En caso de pérdida de activos, puede utilizar la ayuda de las empresas de seguridad para rastrear el origen de los activos; los usuarios deben ser cautelosos al invertir, mantenerse alejados de los fondos y no lamer la sangre. [2019/10/31]