Equipo de seguridad: El proyecto ANCHStakePool sufrió ataques de manipulación de precios

[Equipo de seguridad: el proyecto ANCHStakePool sufre un ataque de manipulación de precios] El 5 de agosto, la información de los miembros de la comunidad de Chengdu Lianan mostró que el proyecto ANCHStakePool estaba sujeto a ataques de manipulación de precios. El equipo de seguridad de Chengdu Lianan analizó y descubrió que: el atacante primero prestó una gran cantidad de USDT del grupo LP a través de préstamos rápidos, lo que aumentó el precio de USDT. Dado que la cantidad de tokens de recompensa se correlaciona positivamente con el precio de USDT, la cantidad de tokens de recompensa emitidos supera con creces el valor normal y el atacante puede obtener más tokens de recompensa ANCH. Esta vez el atacante hizo un total de 106.931 USDT. Hasta ahora, el atacante ha convertido 37.872,53 USDT en 120 BNB y los transfirió a Tornado.Cash. Los 69.058,47 USDT restantes todavía están almacenados en la dirección del atacante (0x1fb3572e71c48b7c5c9dcb656d545bc29bb92dda) superior. En el futuro, la plataforma inteligente de juicio e investigación de la caja de moneda virtual Bichai de la cadena Lianan de Chengdu continuará monitoreando y rastreando esta dirección.

Otras noticias:

Equipo de seguridad: el contrato de fuente no abierta de la parte del proyecto MTDAO fue atacado por un préstamo flash, con una pérdida de casi 500,000 dólares estadounidenses: Jinse Finance informó que, según la plataforma de monitoreo y advertencia de seguridad Beosin EagleEye Web3, la fuente no abierta de la parte del proyecto MTDAO contract 0xFaC064847aB0Bb7ac9F30a1397BebcEdD4879841 sufrió un ataque de préstamo flash Los tokens afectados son MT y ULM. La transacción de ataque es 0xb1db9743efbc306d9ba7b5b892e5b5d7cc2319d85ba6569fed01892bb49ea499, con una ganancia total de 487.042,615 BUSD. El atacante usó las funciones 0xd672c6ce y 0x70d68294 en el contrato sin abrir para llamar a la función sendtransfer en los contratos de token MT y ULM para obtener ganancias (porque ambos son implementados por la parte del proyecto y el contrato sin abrir 0xFaC06484 tiene permisos de minter).

El equipo de seguridad de Beosin analizó y descubrió que el atacante obtuvo una ganancia total de 1930BNB, de los cuales 1030BNB se enviaron a la dirección 0xb2e83f01D52612CF78e94F396623dFcc608B0f86 y todo se transfirió a la dirección tornado, y el resto del intercambio se transfirió a otras direcciones por otros tokens. Los usuarios y las partes del proyecto deben eliminar la liquidez lo antes posible para evitar que el contrato de ataque se retire e intercambie interfaces. [2022/10/17 17:29:32]

Equipo de seguridad: Kyber Network sufrió un ataque de front-end y perdió alrededor de 265 000 amUSDC: Jinse Finance News, según el monitoreo de PeckShield, Kyber Network sufrió un ataque de front-end y perdió alrededor de 265 000 amUSDC.

Además, según los funcionarios de Kyber Network, la vulnerabilidad se ha solucionado y los usuarios afectados serán compensados. [2022/9/2 13:04:37]

Análisis | Recordatorio del equipo de seguridad de SlowMist｜Advertencia de riesgo de seguridad de cuenta falsa de EOS: según el informe de IMEOS, advertencia de riesgo de seguridad de cuenta falsa de EOS, el equipo de seguridad de SlowMist recuerda:

Si el desarrollador de la billetera EOS no juzga estrictamente la confirmación del nodo, por ejemplo, se deben juzgar al menos 15 nodos de confirmación para decirle al usuario que la cuenta se creó con éxito, entonces pueden ocurrir ataques de cuentas falsas.

El ataque se indica de la siguiente manera:

1. El usuario utiliza una determinada billetera EOS para registrar una cuenta (como aaaabbbbcccc), y la billetera indica que el registro se realizó correctamente, pero debido a la falta de un juicio estricto, la esencia de esta cuenta es que el registro no ha sido exitoso

2. El usuario lleva inmediatamente esta cuenta a un intercambio para retiro de efectivo

3. Si alguna parte de este proceso es maliciosa, puede volver a registrar la cuenta aaaabbbbcccc, lo que hace que el usuario retire efectivo a una cuenta que ya no es suya.

Sugerencia de defensa: sondear los nodos, devolver la información del bloque irreversible y luego solicitar el éxito. El proceso técnico específico es el siguiente:

1. Después de push_transaction, obtendrá trx_id

2. Solicitud de interfaz POST /v1/history/get_transaction

3. Si block_num en el parámetro de retorno es menor o igual que last_irreversible_block, es irreversible[2018/7/16]