Chengdu Lianan: El proyecto BAYC tiene el riesgo de ser acuñado infinitamente

[Chengdu Lianan: el proyecto BAYC tiene el riesgo de ser acuñado infinitamente] Según los datos de monitoreo de la opinión pública de seguridad de Chengdu Lianan, el proyecto BAYC tiene el riesgo de ser acuñado infinitamente. El equipo de seguridad de Chengdu Lianan analizó y descubrió que el propietario del contrato no es una billetera de múltiples firmas. El propietario del contrato puede llamar a la función reserveApes () para acuñar monedas. Cada vez que se llama a la función, se pueden acuñar directamente 30 Boring Apes NFT Si el propietario del contrato sufre ataques de phishing o filtraciones de claves privadas, etc., puede provocar la acuñación y venta de una gran cantidad de NFT. Más tarde, Chengdu Lianan continuará monitoreando el movimiento del propietario del contrato.

Otras noticias:

Chengdu Lianan: Visor Finance fue atacado análisis de eventos: según el monitoreo de Chengdu Lianan, Visor Finance fue atacado a las 10:18 p. m. del 21 de diciembre de 2021, hora de Beijing. Según el análisis del equipo técnico de Chengdu Lianan, este ataque explotó dos vulnerabilidades del RewardsHypervisor del contrato de minería hipotecaria del proyecto Visor Finance:

1. La llamada no limita el contrato de destino, el atacante puede llamar a cualquier contrato y hacerse cargo del proceso de ejecución del contrato de minería hipotecaria; <- la laguna principal, la causa raíz de este ataque. 2. La función no está protegida contra ataques de reingreso; <- una vulnerabilidad menor, que provocó un error en el cálculo del número de certificados colaterales, no es el principal punto de uso de este ataque, pero también puede usarse para lanzar un ataque solo. En respuesta a estos dos problemas, Chengdu Lianan sugiere que la parte del proyecto debe hacer las dos cosas siguientes: 1. Al solicitar contratos externos, se recomienda agregar una lista blanca para prohibir las solicitudes de contratos arbitrarios, especialmente los contratos clave que pueden controlar la proceso de ejecución del contrato Llamada 2. La función está bien protegida contra la reentrada, se recomienda utilizar el contrato ReentrancyGuard de openzeppelin. [2021/12/22 7:55:18]

Noticias | Ren Zihang invirtió 10 millones de yuanes para aumentar el capital de Chengdu Lian'an para promover la supervisión de seguridad de la industria blockchain: Ren Zihang (300311) anunció en la noche del 28 de noviembre que la compañía planea usar sus propios fondos de 10 millones de yuanes para aumentar el capital en Chengdu Lian'an. Una vez que se complete el aumento de capital, la empresa adquirirá una participación del 5,39% en Chengdu Lianan. La empresa firmó un acuerdo de inversión con los fundadores de Chengdu Lianan, Yang Xia, Guo Wensheng y Gao Ziyang el 28 de noviembre.

Ren Zixing dijo que la compañía se enfoca en la gobernanza de datos del ciberespacio y proporciona productos y servicios de seguridad de red para el Ministerio de Industria y Tecnología de la Información, seguridad pública y otros departamentos. Esta inversión se basa en la planificación estratégica general de la empresa para la industria de la seguridad de redes y sus propias necesidades de desarrollo, el seguimiento continuo de las tecnologías de punta y un diseño importante en el campo emergente de la seguridad de redes. La cooperación entre las dos partes es propicia para aprovechar al máximo sus respectivas ventajas, promover activamente la supervisión de la seguridad de la industria de la cadena de bloques y promover el desarrollo sostenible, eficiente y a largo plazo de la estrategia general de la empresa. (Red de valores de China) [2019/11/29]

Análisis | Chengdu Lianan: si el servidor de la billetera Safuwallet almacena la clave privada del usuario es la clave: en respuesta a la cuestión de "si la piratería de la billetera web de criptomonedas Safuwallet está relacionada con el problema del servidor Binance", señaló Chengdu Lianan en una entrevista con Jinse Finance: "Safuwallet es una billetera de complemento de extensión de terceros. Se roban los activos del usuario. La razón principal es que se roba la clave privada. Este problema ocurre. Siempre que el servidor de la billetera no almacena la clave privada del usuario y solo procesa los datos de transacciones relevantes, no hay relación entre los dos. Si el servidor almacena la clave privada del usuario, el pirata informático puede obtener la clave privada del usuario atacando el servidor. Las noticias de Twitter dijeron que safuwallet fue inyectado con código malicioso, y el hacker puede poner primero el malicioso El código se inyecta en el safuwallet, y luego atrae a la víctima para que instale la billetera, y luego transfiere los tokens relevantes después de obtener la clave privada de la víctima. De hecho, para billeteras no oficiales, el la seguridad realmente no es muy buena. Para tales billeteras, el momento en que se roba la clave privada ocurre de vez en cuando. Para este incidente, el impacto de seguimiento es principalmente la pérdida de usuarios, la reputación de la billetera y el intercambio. ” [2019/10/12]