Equipo de seguridad: RugPull ocurrió en NumberSwap

[Equipo de seguridad: RugPull ocurrió en NumberSwap] Jinse Finance News, según el equipo de seguridad de CertiK, RugPull ocurrió en NumberSwap y el precio del token cayó más del 96 %. Actualmente, los implementadores poseen más del 98 % de los tokens del proyecto. Además, están vendiendo menos del 1% de la oferta, atrayendo a los especuladores a comprar.

Otras noticias:

Equipo de seguridad: ganancia de alrededor de 9 millones de dólares estadounidenses, análisis breve del ataque de piratas informáticos del protocolo Moola: noticias del 19 de octubre, según Beosin EagleEye Web3 alerta temprana de seguridad y monitoreo de la plataforma de monitoreo, el protocolo Moola en Celo fue atacado y el pirata informático obtuvo una ganancia de unos 900 Diez mil dólares americanos. El equipo de seguridad de Beosin analizó el incidente por primera vez y los resultados son los siguientes:

Paso 1: el atacante realizó múltiples transacciones, utilizando CELO para comprar MOO y el capital inicial del atacante (182 000 CELO).

Paso 2: El atacante presta CELO usando MOO como garantía. De acuerdo con la lógica común de los préstamos hipotecarios, el atacante hipoteca MOO con valor a, y puede prestar CELO con valor b.

Paso 3: el atacante compra MOO con el CELO prestado, por lo que continúa aumentando el precio de MOO. Después de cada intercambio, el precio de Moo correspondiente a CELO se vuelve más alto.

Paso 4: Dado que el contrato de préstamo hipotecario utilizará el precio en tiempo real en el par de transacciones para juzgar cuándo prestar, el monto del préstamo anterior del usuario no ha alcanzado el valor b, por lo que el usuario puede continuar prestando CELO. Al repetir este proceso, el atacante aumenta el precio de MOO de 0,02 CELO a 0,73 CELO.

Paso 5: El atacante ha realizado un total de 4 MOO de hipoteca, 10 veces de intercambio (CELO por MOO) y 28 veces de préstamo para lograr un proceso de obtención de ganancias.

El contrato de implementación de préstamos hipotecarios que fue atacado esta vez no era de código abierto, por las características del ataque, se puede adivinar que el ataque es un ataque de manipulación de precios. En el momento de escribir este artículo, a través del seguimiento de Beosin Trace, se descubrió que el atacante devolvió aproximadamente el 93,1 % de los fondos obtenidos a la fiesta del proyecto Moola Market y donó 500 000 CELO al mercado de impacto. Dejé un total de 650.000 CELO como recompensa. [2022/10/19 17:32:31]

Equipo de seguridad: los tokens BNQ cayeron un 99,46 %, manténgase alerta: noticias del 19 de septiembre, según el monitoreo de datos de CertiK, los tokens BNQ cayeron un 99,46 %, dirección del contrato BSC: 0x06C61725B98F1eF191D41e6B4f1E0aA50Bd465d5. La cuenta externa (EOA) 0x7F725 recibió 152 millones de BNQ y los vendió a un precio de unos 233.000 USDT. Los implementadores destruyen 750.000 BNQ, estén atentos. [2022/9/19 7:06:41]

Análisis | Recordatorio del equipo de seguridad de SlowMist｜Advertencia de riesgo de seguridad de cuenta falsa de EOS: según el informe de IMEOS, advertencia de riesgo de seguridad de cuenta falsa de EOS, el equipo de seguridad de SlowMist recuerda:

Si el desarrollador de la billetera EOS no juzga estrictamente la confirmación del nodo, por ejemplo, se deben juzgar al menos 15 nodos de confirmación para decirle al usuario que la cuenta se creó con éxito, entonces pueden ocurrir ataques de cuentas falsas.

El ataque se indica de la siguiente manera:

1. El usuario utiliza una determinada billetera EOS para registrar una cuenta (como aaaabbbbcccc), y la billetera indica que el registro se realizó correctamente, pero debido a la falta de un juicio estricto, la esencia de esta cuenta es que el registro no ha sido exitoso

2. El usuario lleva inmediatamente esta cuenta a un intercambio para retiro de efectivo

3. Si alguna parte de este proceso es maliciosa, puede volver a registrar la cuenta aaaabbbbcccc, lo que hace que el usuario retire efectivo a una cuenta que ya no es suya.

Sugerencia de defensa: sondear los nodos, devolver la información del bloque irreversible y luego solicitar el éxito. El proceso técnico específico es el siguiente:

1. Después de push_transaction, obtendrá trx_id

2. Solicitud de interfaz POST /v1/history/get_transaction

3. Si block_num en el parámetro de retorno es menor o igual que last_irreversible_block, es irreversible[2018/7/16]