SlowMist Security: Hay una vulnerabilidad grave en Quiuixotic, cancela la autorización lo antes posible.

[Seguridad de SlowMist: Quiuixotic tiene una laguna grave, cancela la autorización lo antes posible] Según la información del equipo de seguridad de SlowMist, el 1 de julio de 2022 se produjo una laguna grave en Quiuixotic, la plataforma NFT más grande del ecosistema Optimism , y se robaron una gran cantidad de activos de los usuarios. Los usuarios que han negociado en el mercado deben cancelar la autorización lo antes posible.

En la función llenar orden de venta del contrato de mercado, solo se verifica la orden de venta y no se verifica la orden de compra del comprador. Por lo tanto, el atacante primero crea un contrato NFT arbitrario, llama a la función fillSellOrder para generar una orden de venta, pasa el parámetro del comprador como la dirección de la víctima y el parámetro de pago ERC20 como la dirección del token que se va a robar, y luego el usuario autorizado. al contrato de mercado Los tokens se transfieren para obtener una ganancia.

Otras noticias:

SlowMist: El hack de PancakeBunny fue un ataque típico de manipulación de precios utilizando préstamos flash: el proyecto PancakeBunny del agregador de ingresos DeFi en Binance Smart Chain encontró un ataque de préstamo flash. El punto clave del ataque es que hay una falla en el cálculo del precio de WBNB-BUNNYLP, y la cantidad de BUNNY acuñada por el contrato BunnyMinterV2 depende de este método de cálculo de precio de LP defectuoso, lo que eventualmente lleva al atacante a usar el préstamo flash para manipular el grupo WBNB-BUNNY y así aumentar el El precio de LP hace que el El contrato de BunnyMinterV2 entrega una gran cantidad de tokens BUNNY al atacante. El equipo de seguridad de SlowMist sugiere que, cuando se trata del cálculo de este tipo de precio de LP, puede usar un oráculo confiable de alimentación de precios retrasados ​​para el cálculo o consultar el equipo anterior de AlphaFinance. [2021/5/20 22:24:55]

Noticias | El equipo de seguridad de SlowMist descubrió un nuevo tipo de método de ataque de cadena pública "ataque alienígena": El equipo de seguridad de SlowMist descubrió un nuevo tipo de método de ataque "ataque alienígena" (también conocido como contaminación del grupo de direcciones) contra la cadena pública, que se refiere al señuelo cadenas similares Un método de ataque en el que los nodos se invaden y se contaminan entre sí. La razón principal de la vulnerabilidad es que el sistema de cadena homogénea no identifica nodos no homogéneos en el protocolo de comunicación. Este tipo de ataque se ha reproducido en algunas cadenas públicas implementadas con referencia al protocolo de comunicación Ethereum.Debido al uso de protocolos de protocolo de enlace compatibles en cadenas similares de Ethereum, es imposible distinguir si los nodos pertenecen a la misma cadena, lo que genera conflictos mutuos. contaminación de los conjuntos de direcciones y la comunicación de los nodos Caída del rendimiento, lo que finalmente provoca la congestión de los nodos, anomalías en la red principal y otros fenómenos. Las cadenas públicas relevantes deben prestar atención al monitoreo continuo del estado de salud de la red principal para evitar ataques que afecten la estabilidad de la red principal. [2019/4/18]

Dinámica | El equipo de seguridad de SlowMist analiza el ataque al juego de preguntas sobre contratos de EOS FFgame: Según el equipo de seguridad de SlowMist, para el análisis del ataque al juego de preguntas sobre contratos de EOS FFgame, el equipo de seguridad de SlowMist se comunicó con el fundador de FIBOS, Thief and Retest especulaciones: El atacante implementa el contrato de ataque y usa el mismo algoritmo que FFgame para calcular el número aleatorio en el contrato, e inmediatamente usa el número aleatorio para atacar el contrato en inline_action después de que se genera el número aleatorio, lo que hace que se "prediga" el resultado ganador. , logrando así una tasa de adjudicación súper alta. El atacante ha sido monitoreado por SlowMist en busca de cambios en la cuenta desde el primer robo de monedas.En la madrugada de esta mañana (11.8), la inteligencia de amenazas se sincronizó con la plataforma de intercambio relevante por primera vez.

El equipo de seguridad de SlowMist recuerda a los desarrolladores similares: No introduzcan semillas de números aleatorios controlables o predecibles, no debería existir ninguna casualidad. [2018/11/8]