11月10日,星期四 05:19
火讯财经讯,据慢雾安全团队监测,2022 年 11 月 10 日,ETH 链上的 brahTOPG 项目遭到攻击,攻击者获利约 89,879 美元。慢雾安全团队以简讯形式分享如下: 1. 攻击者首先查询了受害用户 0x392472 的余额,接着调用了 Zapper 合约的 zapIn 函数。 2. 首先函数会为合约转账 requiredToken 参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得 requiredToken 为假代币(即攻击合约本身)并将假代币转给 Zapper 合约。 3. 接着会调用内部函数 zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。 4. 之后会外部调用假代币合约的 approve 函数,该函数为攻击者恶意构造,是为了给 Zapper 合约转账 frax 代币,此操作是为了通过后续合约中对 frax 代币余额的检查并且能成功给金库存款。 5. 最后外部调用了 swapTarget 参数所指定的合约(该参数为外部可操控),并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的 USDC 代币。 6. 攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的 USDC 代币约 889,343 枚。 此次攻击的主要原因在于 Zapper 合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。 慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。 参考攻击交易: https://etherscan.io/tx/0xeaef2831d4d6bca04e4e9035613be637ae3b0034977673c1c2f10903926f29c0
0
火讯财经讯,10月6日消息,国际货币基金组织(IMF)建议萨尔瓦多在有关潜在贷款计划的持续谈判中缩小其比特币法律的范围并加强监管监督。该组织对萨尔瓦多采用比特币带来的潜在风险表示担忧,这是该国新贷款计划谈判的一个关键议题,旨在创建一个有助于提高生产力和加强经济改革的政策框架。
57 秒前
火讯财经讯,10月6日消息,据CryptoQuant分析,比特币长期持有者(持有155天以上)正在减仓,近期其头寸从190亿美元降至120亿美元,而短期持有者的头寸最近激增了60亿美元。
45 分钟前
火讯财经讯,10月6日消息,据官方消息,矿企HIVEDigital发布了9月财报,财报显示其于9月共产出112枚比特币,持仓总量为2,604枚,12个月内增长了50%。
1 小时前
火讯财经讯,10月6日消息,Coinbase高管ShanAggarwal表示,随着数字资产得到美国两党更多的支持,Coinbase与传统金融机构的对话一直在升温。 Aggarwal进一步表示,Coinbase与大型金融公司的谈判在过去六到九个月中发生了“转变”,对话最终可能会将更多传统金融参与者带入Web3,从而推动数字资产的大规模采用。
1 小时前
火讯财经讯,10月6日消息,据Lookonchain监测,10月3日至4日期间,某巨鲸花费1,360枚ETH(价值约324万美元)以均价3.56USDT的价格买入了90.9万枚EIGEN。 而该鲸鱼于今日下午4时许以均价3.1USDT的价格出售77.2万枚EIGEN(价值约239万美元)。目前持有13.98万枚EIGEN(价值约44.9万美元),已亏损40.7万美元。
1 小时前
商务合作:840034348@qq.com
媒体合作:840034348@qq.com
投稿合作:840034348@qq.com
微信公众号
iPhone & Android
