为您找到相关结果约 95 个:
CoinVoice最新获悉:央视 CCTV-13 频道在「新闻直播间」中报道了有关虚拟货币诈骗的内容,报道中以 TRTC 为例,介绍了一种比较典型的诈骗形式,即在 Uniswap 平台任意发布一种虚拟货币后,通过改代码限制只能买不能卖,最后通过清空流动性跑路的行为,区块链安全技术公司慢雾的工程师还针对 Uniswap 进行了演示。TRTC 案例共骗取了 59 个 ETH,价值约 10 万美元。央视表示,非法发行证券,涉嫌非法经营和金融诈骗,加密货币交易平台的远期合约属于非法期货活动。目前关于比特币挖矿和交易活动的监管力度在不断升级。
CoinVoice最新获悉:官方消息,由美国AMAYA孵化的西安中美弘康公司线下实体“华山国际健康城”即将全面开启平台系列项目。同属于美国AMAYA公司管理与领导的深圳AMAYA公司日前已组织逾10人体验暨考察团前往西安,深入旗下“华山国际健康城”的体检中心、细胞组织库、细胞制备中心、质控中心和研发中心进行实地参观考察。
据悉,“华山国际健康城”项目包括筹建干细胞战略资源储备库、区域性细胞制备平台、华山国际抗衰老中心、华山国际体检中心、100个高端资源下沉式绿色微门诊中央管理平台、地球癌症康复村、慢病国际康复学校、希望的田野和大地药典种植基地。此次“华山国际健康城”考察行动不仅坚定公众对中美弘康的认可和信心,更是美国AMAYA布局中国大健康领域的又一喜讯。
CoinVoice最新获悉:DeFi 无险永续合约平台 Shield 已完成其以太坊和 BSC 上智能合约安全审计,审计工作由安全机构 PeckShield 派盾进行。Shield 表示,PeckShield 对 Shield 经过系统、全面的漏洞静态扫描,动态攻击测试等代码安全审计工作,并对其共识算法、激励模型、交易模型、系统合约等各个模块进行了专业、全面审计,最终版本经 PeckShield 安全人员鉴定其已经符合 PeckShield 四大类 37 项检测要求,无已知安全风险。Shield 智能合约代码此前已通过慢雾科技的安全审计。
Shield 是一个链上交易衍生品 DeFi 项目,即将发布无险永续合约(即没有头寸损失的永续合约)及实现完全链上交易的永续合约。
CoinVoice最新获悉:慢雾区针对币安智能链上 DeFi 项目 AutoShark Finance 被黑分析称,由于 AutoShark 策略池的机制,攻击者需要事先存入一定数量的 LP 代币到策略池中,为后续攻击做准备。整个攻击其实分成了 2 步,第 2 笔攻击交易的具体攻击步骤如下:
攻击者从 Pancake 的 WBNB/BUSD 交易对中借出大量 WBNB;
将第 1 步借出的全部 WBNB 中的一半通过 Panther 的 SHARK/WBNB 交易对兑换出大量的 SHARK,同时池中 WBNB 的数量增多;
将第 1 步和第 2 步的 WBNB 和 SHARK 打入到 SharkMinter 中,为后续攻击做准备;
调用 AutoShark 项目中的 WBNB/SHARK 策略池中的 getReward 函数,该函数会根据用户获利的资金从中抽出一部分手续费,作为贡献值给用户奖励 SHARK 代币,这部分操作在 SharkMinter 合约中进行操作;
SharkMinter 合约在收到用户收益的 LP 手续费之后,会将 LP 重新拆成对应的 WBNB 和 SHARK,重新加入到 Panther 的 WBNB/SHARK 交易池中;
由于第 3 步攻击者已经事先将对应的代币打入到 SharkMinter 合约中,SharkMinter 合约在移除流动性后再添加流动性的时候,使用的是 SharkMinter 合约本身的 WBNB 和 SHARK 余额进行添加,这部分余额包含攻击者在第 3 步打入 SharkMinter 的余额,导致最后合约获取的添加流动性的余额是错误的,也就是说 SharkMinter 合约误以为攻击者打入了巨量的手续费到合约中;
SharkMinter 合约在获取到手续费的数量后,会通过 tvlInWBNB 函数计算这部分手续费的价值,然后根据手续费的价值铸币 SHARK 代币给用户。但是在计算 LP 价值的时候,使用的是 Panther WBNB/SHARK 池的 WBNB 实时数量除以 LP 总量来计算 LP 能兑换多少 WBNB。但是由于在第 2 步中,Panther 池中 WBNB 的数量已经非常多,导致计算出来的 LP 的价值非常高;
在 LP 价值错误和手续费获取数量错误的情况下,SharkMinter 合约最后在计算攻击者的贡献的时候计算出了一个非常大的值,导致 SharkMinter 合约给攻击者铸出了大量的 SHARK 代币;
攻击者后续通过卖出 SHARK 代币来换出 WBNB,偿还闪电贷。然后获利离开。
攻击者后续通过卖出 SHARK 代币来换出 WBNB,偿还闪电贷。然后获利离开。
CoinVoice最新获悉:基于币安智能链的算力金融化协议 HashFi,现已通过区块链安全公司慢雾科技审计。审计范围包括项目代币发行、ETH 奖励发放、质押挖矿等功能,审计报告编号 0x002105190001。HashFi 将在近期开启公测活动。
CoinVoice最新获悉:基于币安智能链的算力金融化协议 HashFi,现已通过区块链安全公司慢雾科技审计。审计范围包括项目代币发行、ETH 奖励发放、质押挖矿等功能,审计报告编号 0x002105190001。HashFi 将在近期开启内测活动。
CoinVoice最新获悉:据慢雾 MistTrack,自北京时间 5 月 20 日 10 时 55 分开始, PancakeBunny 事件的黑客获利地址(0x158C24...2C612f)通过 PancakeSwap 将获利资金 114,631 BNB 和 697,245 BUNNY 兑换为 ETH,再以跨链的方式转移到 ETH 地址 1 (0xa0ACC6...d7E187)和 ETH 地址 2 (0x158C24...2C612f)。今日慢雾 MistTrack 监测到地址 1 给地址 2 转入 16,500 ETH,地址 2 再通过 Sushiswap 等兑换平台将 ETH 兑换成 DAI 转回到地址 1。目前地址 1 余额 480 ETH 、近 4600 万 DAI;地址 2 暂无余额。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:据慢雾 MistTrack,自北京时间 5 月 16 日 19 时 20 分开始,初始黑客 BSC 地址 (地址 0xef39F1...0C3BE6) 将获利的近 1100 万 BUSD 连续转移至 12 个 BSC 地址。后使用 1inch 兑换为 renBTC 和 fUSDT,接着通过 burn renBTC 将近 171 BTC 跨链转移到 9 个 BTC 地址上,通过 burn fUSDT 将近 302 万 USDT 跨链转移到 3 个 ETH 地址上。目前被盗资金分散在 12 个 BTC、ETH 地址上,未发生进一步转移。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:据慢雾区,针对 DeFi 项目 xToken 遭受攻击损失近 2500 万美元一事,慢雾安全团队分析称,本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约,两个合约分别遭受了「假币」攻击和预言机操控攻击。具体分析如下:
一、xBNTa 合约攻击分析:
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二、xSNXa 合约攻击分析:
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
CoinVoice最新获悉:去中心化现货杠杆交易平台 Lever.Network 将于明日下午 16:00 上线币安智能链主网公测,并同时开启盲挖,交易手续费返利,交易大赛等活动,流动性挖矿也将于近期启动。Lever 主产品智能合约也已通过慢雾科技、Certik 的安全审计。
CoinVoice最新获悉:去中心化现货杠杆交易协议 Lever.Network 将于明日下午 16:00 上线币安智能链主网公测,并同时开启盲挖,交易手续费返利,交易大赛等活动,流动性挖矿也将于近期启动。Lever 主产品智能合约也已通过慢雾科技、Certik 的安全审计。
据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队分析如下:
CoinVoice最新获悉:慢雾团队发布了 Spartan Protocol 被攻击过程的简报,具体如下:
攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB。
在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点。
攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值。
随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少。
swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作。
在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币。
在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值。
因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币。
之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。
CoinVoice最新获悉:针对币安智能链项目 Uranium 损失 5000 万美元的疑似被黑事件,慢雾安全团队在研究后表示,此次问题发生在 Uranium 项目的 pair 合约上,该合约的 swap 函数部分逻辑参考了 PancakeSwap 的逻辑,允许用户进行闪电贷借出资金,是该函数在根据恒定乘积公式检查合约余额时,存在精度处理错误的问题,导致最后合约中计算出的余额比合约实际的余额大 100 倍,这种情况下,如果攻击者使用闪电贷进行借款,只需要归还借贷金额的 1% 即可通过检查,盗走剩余的 99% 的余额,导致项目损失。
CoinVoice最新获悉:DeFi 协议 Solv IC Market 团队宣布正式部署至以太坊主网,其核心智能合约已由慢雾科技进行代码审计,根据审计结果代码优化工作已经完成,后续将在开放源码时同步公布正式审计报告。另外,Solv 已将部分锁仓额度以投资票据 NFT 的形式发放给早期战略合作伙伴,包括 Axia8 Ventures、IOSG、Spartan Group、Hashed、Krypital Group、GBV、Maple Leaf Capital 等战略投资人。
Solv IC Market 是 Solv 团队基于创新 vNFT 代币标准打造的首个应用,初期专注为优质资产提供代币额度发行、拆分组合与流转交易的一站式解决方案,实现自由、透明、可信的份额发行与交易。
CoinVoice最新获悉:去中心化超额借贷协议 BACK 获 Horizon Capital 战略投资,具体金额未披露。Back 是 Back.finance 发布的一款去中心化超额借贷智能协议,可为流动性挖矿者提供最多 3 倍杠杆参与流动性挖矿。目前已通过慢雾科技合约审计,将于 4 月 24 日 14:00 正式上线。
Horizon Capital 是一家专注于区块链行业的风险投资基金,2020 年成立于新加坡,以推进开放性金融和 Web3.0 加速落地为愿景。投资覆盖上层应用、基础协议和通用计算等领域,目前投资组合包括 Mcdex,BXH,Sakeswap 等 DEX,保险 Ins3,NFT 交易平台 NFTMART,NFT 游戏平台 CryptoFIFA,超额借贷协议 BACK,DAO 板块 Dora Factory,去中心化 ID Litentry 等优质区块链项目和平台。
CoinVoice最新获悉:去中心化资产管理协议 DePlutus (PLUT)完成 100 万美元种子轮融资,Bixin Ventures 领投,华尔街高盛高管等天使投资人参投。
注,DePlutus 协议是基于链上操作的新一代 DeFi 资管协议,也是实现链上基金专属 Token (DF Token)功能的协议。DePlutus 旨在构建资管领域内的基础设施,为用户开启链上基金时代。DePlutus 已经通过慢雾科技代码审计,并完成以太网主网上线。
CoinVoice最新获悉:DeFi 保险协议 InsurAce 已完成由慢雾进行的安全审计,将于 2021 年 4 月 26 日周一晚 22:00 正式开启主网上线。首批质押池包括:ETH、WETH、DAI、USDT、USDC、INSUR 等 6 个资金池,首期质押目标 TVL 为 2000 万美元,并将在总锁仓价值(TVL)达到 500 万美元后,对外开启保险服务。
首批可保合约包括 Compound、AAVE、Alpha Homora 等 20 个主流协议。此外,还有多个协议正在候选名单中,将在完成风险评估后进入保险池提供保险服务。InsurAce 表示,其组合式保险预计能有效降低保费、节省用户交易成本及时间。
CoinVoice最新获悉:去中心化资产管理协议 DePlutus (PLUT)现已通过慢雾科技的安全审计。审计过程中,慢雾采用「白盒为主,黑盒为辅」的策略,DePlutus 一次性通过了安全审计。
注,DePlutus 协议是基于链上操作的新一代 DeFi 资管协议,也是实现链上基金专属 Token (DF Token)功能的协议。DePlutus 旨在构建资管领域内的基础设施,为用户开启链上基金时代。
CoinVoice最新获悉:主打去中心化无险永续合约的 DeFi 平台 Shield (SLD)智能合约代码已通过慢雾科技的安全审计。在审计过程中,慢雾采用了「白盒为主,黑盒为辅」的策略,与 Shield 团队密切沟通并已排除部分漏洞风险,并由慢雾审计人员再次审查并通过。
注,Shield 是链上交易衍生品 DeFi 项目之一,即将发布其基于 Layer1 的首个无险永续合约(即没有头寸损失的永续合约)及首个实现完全链上交易的永续合约。
CoinVoice最新获悉:据慢雾区,波卡生态 IDO 平台 Polkatrain 于今早发生事故,本次出现问题的合约为 Polkatrain 项目的 POLT_LBP 合约,该合约有一个 swap 函数,并存在一个返佣机制,当用户通过 swap 函数购买 PLOT 代币的时候获得一定量的返佣,该笔返佣会通过合约里的 _update 函数调用 transferFrom 的形式转发送给用户。由于 _update 函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用 swap 函数进行代币兑换来薅取合约的返佣奖励。
慢雾安全团队提醒 DApp 项目方在设计 AMM 兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。
CoinVoice最新获悉:据慢雾区,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现,在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。
此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了「假充值」写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。Force DAO 对此表示,「团队已意识到 xFORCE 合约漏洞,xFORCE 合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。」
CoinVoice最新获悉:DeFi 智能理财平台 SIL Finance (Sister in Law)表示在经过 36 小时的努力后,已经追回此前因漏洞损失的 1215 万美元,并被安全地存放在团队控制的一个多签名钱包中。团队表示,此次问题是由智能合约权限漏洞引起的,而该漏洞又触发了一个通用的抢先交易机器人的多笔交易。在团队与该机器人的运营者取得联系后,此人协助将所有资金返还给团队。SIL 对帮助追回资金的团队和个人表示感谢,包括慢雾、DODO、Dominator008、Tina Zhen、samczsun 以及这位匿名的机器人运营者。
CoinVoice最新获悉:针对 Filecoin 出现「双花交易」和多家交易所关闭 FIL 充值通道一事,慢雾安全团队对相关信息分析发现,这是一起 Filecoin 的 RBF 假充值攻击事件而非「双花交易」。攻击者预先发送一笔低 gas-feecap 的交易,然后通过提高 gas-premium 和 gas-feecap 替换原交易(RBF 交易),此时 RBF 交易优先被打包上链,旧交易被丢弃,但是由于 Filecoin lotus RPC 有一个特性,在查询旧交易的执行状态时(使用 lotus state exec-trace 命令或者通过 REST 接口 Filecoin.StateGetReceipt 获取)返回的是 RBF 交易的执行状态,导致交易所对两笔交易重复入账。
慢雾安全团队提醒交易所及相关钱包方,在充值入账时,需要对比查询返回结果中的 cid 与查询的 cid 是否一致,并配合 ChainGetParentMessages 和 ChainGetParentReceipts 等接口进行查询对比,避免重复入账。与此前慢雾区发现的假充值攻击不同的是,此次攻击方法更加隐蔽,是由于 Filecoin 节点特性所引起,交易所及相关钱包方应再次检查充值入账程序,除了 RBF 外,还有常规的 To、Value、转账类型 Method,以及执行结果 ExitCode 等字段的校验,必要时可请安全审计公司协助检测。
CoinVoice最新获悉:去中心化跨链交易协议 Anyswap 与慢雾科技达成安全战略合作。双方将在安全多方计算、跨链 DeFi 应用落地等方面保持紧密合作。
Anyswap 与慢雾科技双方致力于维护区块链生态安全,两者的深度合作,将为 Anyswap 跨生态全种类资产交换协议提供进一步的安全技术支持,保障 Anyswap 安全多方计算网络安全稳定运行。