风险提示:请理性看待区块链,树立正确的货币观念和投资理念,不要盲目跟风投资,本站内容不构成投资建议,请谨慎对待。 免责声明:本站所发布文章仅代表个人观点,与CoinVoice官方立场无关

为您找到相关结果约 95 个:

慢雾:PREMINT攻击者共窃取约300枚NFT,总计获利约280枚ETH

CoinVoice最新获悉:7 月 18 日,慢雾监测数据显示,攻击 PREMINT 的两个黑客地址一共窃取了大约 300 枚 NFT,卖出后总计获利约 280 枚 ETH。 此前报道,7 月 17 日,黑客在 PREMINT 网站植入恶意 JS 文件实施钓鱼攻击,从而盗取用户的 NFT 等资产。[原文链接]

慢雾:Optimism生态NFT平台Quixotic出现严重漏洞,用户需尽快取消授权

CoinVoice最新获悉:7 月 1 日,据慢雾安全团队情报,Optimism 生态最大 NFT 平台 Quixotic 出现严重漏洞,大量用户资产被盗,提示在该市场上进行过交易的用户尽快取消授权。 慢雾表示,在市场合约的「fillSellOrder 函数」中仅对卖单进行了检查,并未对「buyer」的买单做检查。故攻击者首先创建了任意的 NFT 合约,调用「fillSellOrder 函数」生成卖单,将「buyer 参数」传为受害者地址、paymentERC20 参数传为需要盗取的 Token 地址,即可将对该市场合约有授权的用户的 Token 转走获利。[原文链接]

慢雾:部分浏览器扩展钱包仍存在未修复漏洞,建议用户暂时停止使用

CoinVoice最新获悉:6 月 14 日,慢雾科技披露,MetaMask 近期公开了白帽黑客指出的严重的 Clickjacking 漏洞。慢雾提示,基于 MetaMask [原文链接]

慢雾:BadgerDAO攻击者开始转移盗走的比特币

消息,6 月 6 日,慢雾在社交媒体上表示,旨在将比特币带入 DeFi 的协议 BadgerDAO 的攻击者正在转移盗走的比特币,已将比特币转至多个新的钱包地址。 此前报道,BadgerDAO 于 2021 年 12 月遭到攻击,损失包括 2101 枚比特币及 151 枚以太坊,被盗时资产总价值超 1.2 亿美元。[原文链接]

慢雾:Moonbirds的Nesting合约相关漏洞在特定场景下才能产生危害,建议用户自行排查

CoinVoice最新获悉:5 月 30 日,据慢雾区情报反馈,Moonbirds 发布安全公告,Nesting 合约存在安全问题。当用户在 OpenSea 或者 LooksRare 等 NFT 交易平台进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止 NFT 售卖,而是要在交易平台中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在 nesting(筑巢) 时不能交易的限制。 据悉,慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢) 的 NFT 是否还在 NFT 市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。[原文链接]

慢雾:DEUS Finance二次被黑简析

CoinVoice最新获悉:4 月 28 日,据慢雾区情报,多链衍生品协议 DEUS Finance DAO 在 4 月 28 日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下: 1. 攻击者在攻击之前先往 DeiLenderSolidex 抵押了 Solidex sAMM-USDC/DEI 的 LP。 2. 在几个小时后攻击者先从多个池子闪电贷借出 143200000 USDC。 3. 随后攻击者使用借来的 USDC 在 BaseV1Pair 进行了 swap 操作,兑换出了 9547716.9 个的 DEI,由于 DeiLenderSolidex 中的 getOnChainPrice 函数是直接获取 DEI-USDC 交易对的 Token 余额进行 LP 价格计算。因此在此次 Swap 操作中将拉高 getOnChainPrice 函数获取的 LP 价格。 4. 在进行 Swap 操作后,攻击者在 DeiLenderSolidex 合约中通过 borrow 函数进行借贷,由于 borrow 函数中用 isSolvent 进行借贷检查,而在 isSolvent 是使用了 getOnChainPrice 函数参与检查。但在步骤 3 中 getOnChainPrice 的结果已经被拉高了。导致攻击者超额借出更多的 DEI。 5. 最后着攻击者在把用借贷出来 DEI 兑换成 USDC 归还从几个池子借出来的 USDC,获利离场。[原文链接]

慢雾:警惕Terra链上项目被恶意广告投放钓鱼风险

CoinVoice最新获悉:4 月 21 日,据慢雾区情报,近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美金。 经过慢雾安全追踪分析确认,此次攻击为批量谷歌关键词广告投放钓鱼,用户在谷歌搜索如:astroport,nexus protocol,anchor protocol 等 Terra 项目,谷歌结果页第一条看似正常的广告链接(显示的域名甚至是一样的)实为钓鱼网站。一旦用户不注意访问此钓鱼网站,点击连接钱包时,钓鱼网站会提醒直接输入助记词,一旦用户输入并点击提交,资产将会被攻击者盗取。 慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接,减少使用常用钱包进行非必要的操作,避免不必要的资损。[原文链接]

Metis生态项目Starstream被盗超5亿枚STARS,并造成Agora DeFi损失约820万美元

CoinVoice最新获悉:4 月 8 日,以太坊二层网络 Metis 上的收益聚合器 Starstream 今日凌晨受其 distributor treasury 合约漏洞影响,被盗超 5 亿枚 STARS,随后攻击者将 STARS 抵押至借贷协议 Agora DeFi 中并借出大量资产,共造成 Agora DeFi 损失约 820 万美元。 据慢雾分析,在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 4 月 7 日晚,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约 (0x6f...25),该合约存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 5.3 亿个 STARS。[原文链接]

慢雾安全提醒:谨防多重签名假充值

CoinVoice最新获悉:4 月 7 日,据慢雾区情报,近期有黑客团伙利用 m-of-n 多重签名机制对交易平台进行假充值攻击。慢雾安全团队分析发现,攻击者通常使用 2-of-3 多签地址,发起一笔以 3 个地址构成的多签做为交易输出 (vout) 的交易,此时攻击者在交易平台的 1 个充值地址虽然显示收到资金,但是由于花费这笔资金至少需要 2 个地址的签名,攻击者可利用自己控制的其余 2 个地址将充值资金转出。 慢雾安全团队建议交易平台,及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的 Token 充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。[原文链接]

慢雾:攻击Ronin Network的黑客地址向Huobi转入3750枚ETH

CoinVoice最新获悉:3 月 30 日,慢雾更新,攻击 Axie Infinity 侧链 Ronin Network 的黑客地址向交易平台 Huobi 转入 3750 枚 ETH。[原文链接]

Mirror创始人提出「NFT礼品卡」Layer 2桥接方案Bridge Pass

CoinVoice最新获悉:3 月 26 日,Mirror 创始人 Denis Nazarov 发文提出新的 Layer 2 桥接方案 Bridge Pass。Denis Nazarov 表示,现有的 Layer 2 桥接方案存在慢、手续费贵、操作麻烦等弊端,这些弊端无疑提高了 Layer 2 的采用门槛,而 Bridge Pass 旨在让桥接变得更加有趣而易于使用。 据悉,Bridge Pass 以礼品卡为灵感,使用 NFT 技术,需要桥接资产的用户可在 Layer 1 网络上购买相应价格的 NFT,NFT 将在铸造时自动将资产跨链至 Layer 2 网络。 [原文链接]

慢雾:黑客通过绕过未被验证的账号,非法增发20亿枚CASH
CoinVoice最新获悉:3 月 23 日,据慢雾区情报,攻击 Solana 上 Stablecoin 协议 Cashio 黑客通过绕过一个未被验证的账号,非法增发了 20 亿枚 CASH,并通过多个应用将 CASH 转化为 8,646,022.04 UST、17,041,006.5 USDC 和 26,340,965.68 USDT-USDC LP,获利总价值:52027994.22 USD(约合 5000 万美元)。 此前报道,Solana 上 Stablecoin 协议 Cashio 出现无限铸造故障(infinite mint glitch),据 DeFi Llama 数据显示,其总锁仓量已从 2,887 万美元骤降至 56.9 万美元。项目团队在其社交平台紧急发文呼吁用户停止铸造 CASH,并从协议中提出资金,团队正在对此事件进行调查。
慢雾:DOD合约中BUSD被非预期取出,因DOD低价情况下与合约中锁定BUSD产生套利空间

CoinVoice最新获悉:据慢雾区情报,2022 年 3 月 10 日,BSC 链上 DOD 项目中锁定的 BUSD 被非预期的取出。分析如下: 1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD Token 后将获取该数量 1/10 的 BUSD,即转入的 DOD Token 数量越多获得的 BUSD 也越多。 2. 但由于 DOD Token 价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。 3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。 4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD Token 转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD。 5. 因此 DOD 合约中的 BUSD 被非预期的取出。 本次 DOD 合约中的 BUSD 被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[原文链接]

DeFi量化对冲基金Force DAO宣布解散并清盘

CoinVoice最新获悉:3 月 6 日,据官方消息,DeFi 量化对冲基金 Force DAO 宣布解散并清盘,同时表示,「ForceDAO 在被黑客利用漏洞攻击后从未真正恢复过,因此正式结束 ForceDAO 的运营。官方建议任何仍在投资资金库的用户,请提取任何剩余资金。」 此前报道,2021 年 4 月,Force DAO 项目遭到黑客攻击,其 FORCE Token 被大量增发。后参与攻击的黑客表示归还资金,并表示自己是白帽子。据慢雾安全团队分析发现,此漏洞发生的主要原因在于 FORCE Token 的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,导致惨剧发生。[原文链接]

EOS网络基金会成立Recover+核心工作组,旨在建立黑客攻击危机处理框架

CoinVoice最新获悉:1 月 5 日,EOS 网络基金会领导者 Yves La Rose 宣布成立第六个核心工作组,该工作组命名为 Recover+,由 EOS 生态 DeFi 项目 Pizza 领导,旨在建立危机处理框架,通过制定紧急联络、反应机制、DAO 保险和白帽奖励等措施,帮助 EOS 项目方在遭遇黑客攻击后以更合理有效的方式应对危机及追回丢失资产。 此前,12 月 8 日,黑客利用溢出漏洞攻击 Pizza,并在短时间内创建了一百三十余万个账户分散资金。Pizza 联合慢雾、各大节点、交易所共同进行追查,于 12 月 12 日与黑客达成和解。 此外,EOS 网络基金会已资助成立 API+、Wallet+、Core+、Audit+和 EVM+五个核心工作组。五个工作组将于 2022 年第一季度各自提交一份黄皮书,帮助完善 EOS 网络基础设施和规划未来发展蓝图,助力 EOS 网络成为开发者首选开发平台。[原文链接]

慢雾安全:Discord、Telegram频道公告注意添加设置权限

CoinVoice最新获悉:12 月 24 日,慢雾科技官方微博发布安全提醒,文中表示据慢雾安全情报显示,近期存在项目因 Discord、Telegram 管理账户权限设置问题而造成管理账户被接管,并通过公告频道发布钓鱼链接,导致社区用户遭受损失事件。因此提醒用户注意添加频道权限设置,管理公告发布,预防仿冒官方人员名称发布公告及网络链接钓鱼问题。[原文链接]

慢雾:Grim Finance攻击者利用传入恶意代币地址对depositFor进行重入攻击

CoinVoice最新获悉:12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队对事故进行分析: 1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。 2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币 (预期接收 want 代币,本次攻击中应为 SPIRIT-LP) 的差值为用户铸造抵押凭证。 3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。 4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。 此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。 此前报道,12 月 19 日,据官方消息,Fantom 链上复合收益平台 Grim Finance 遭遇闪电贷攻击,目前损失已超 3000 万美元。攻击者使用 Grim Finance 的保险库策略中名为「beforeDeposit()」的函数进行攻击,输入恶意 Token 合约。目前 Grim Finance 已经暂停所有的金库,提醒用户立即撤回所有资产。[原文链接]

a16z合伙人Chris Dixon:区块链和传统计算机之间的性能差距将随着时间的推移而缩小

CoinVoice最新获悉:12 月 18 日,a16z 合伙人 Chris Dixon 在社交媒体上发文表示表示,「区块链比传统计算机慢」是事实,这是在性能和对用户和开发者做出长期承诺之间的权衡。区块链是可以做出承诺的计算机,它和不能做出承诺的计算机(=谷歌/AWS 服务器)之间的性能差距将随着时间的推移而缩小。区块链的一个了不起的特点是,任何人都可以不经许可加入,并成为网络中的矿工/验证者。但我们也需要一些系统来筛选参与者,以避免垃圾邮件/攻击。因此,有了工作量证明和权益证明。[原文链接]

慢雾:部分OpenSea用户遭钓鱼攻击,NFT被以远低于挂单价格售出

CoinVoice最新获悉:12月10日消息,据安全机构慢雾官方消息,有用户在 OpenSea 挂单售卖的 NFT 被恶意的以远低于挂单价匹配买。经慢雾安全团队分析,此是由于该受害用户遭受钓鱼攻击,错误的对攻击者精心构造的恶意订单进行签名,恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售 NFT 为受害用户在 OpenSea 上架的待出售 NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在 OpenSea 中进行匹配,并以攻击者指定的极低价格成交,导致受害用户的 NFT 以非预期的价格售出。

慢雾 MistTrack:去中心化协议 BXH 于 BSC 被盗的 ETH、BTC 类资产已全部跨链转至相应链

CoinVoice最新获悉:10 月 30 日攻击去中心化交易协议 BXH 的黑客在洗币过程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台,其中部分 ETH 代币被兑换成 BTC。此外,黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链,目前,初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。

慢雾:去中心化交易协议 BXH 被盗系管理权限被恶意修改所致,攻击者利用此权限转移 1.3 亿美元资产

CoinVoice最新获悉:据慢雾区情报,2021 年 10 月 30 日,去中心化交易协议 BXH 遭受攻击,被盗约 1.3 亿美元。经慢雾安全团队分析,黑客于 27 日 13 时 (UTC) 部署了攻击合约 0x8877,接着在 29 日 08 时 (UTC) BXH 项目管理钱包地址 0x5614 通过 grantRole 赋予攻击合约 0x8877 管理权限。30 日 03 时 (UTC) 攻击者通过攻击合约 0x8877 的权限从 BXH 策略池资金库中将其管理的资产转出。30 日 04 时 (UTC) 0x5614 暂停了资金库。

因此 BXH 本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。

来源链接

慢雾 MistTrack:去中心化协议 BXH 被盗超 1.3 亿美元,部分资金已跨链到以太坊和 BTC

CoinVoice最新获悉:去中心化交易协议 BXH 于今日在币安智能链(BSC)遭到攻击,目前,初始黑客获利地址(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)已将 4000 ETH 从 BSC 链转移到 ETH 链,接着将 300 BTCB 兑换为 renBTC 跨链到地址 (1Jw...9oU 和 1Fr...Vow)。BXH 团队表示在⽕币⽣态链( Heco)、OEC 以及以太坊上的资产处于安全状态,但出于安全考虑,官方暂时暂停了存取款服务。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。

跨链借贷协议 Vee.Finance V2 将于 10 月 7 日在 Avalanche 上线主网

CoinVoice最新获悉:跨链借贷协议 Vee.Finance V2 宣布将于 10 月 7 日 22:00 在 Avalanche 上线主网。Vee.Finance 称,V2 将提供借贷和交易功能,并支持使用钱包中的 VEE 进行挖矿,V2 智能合约已通过慢雾科技安全审计。

Vee.Finance 还表示,会将 V1 稳定币板块的挖矿率调整为 0,并将挖矿奖励迁移至 V2,并提醒用户在 10 月 10 日之前将 V1 稳定币池中资金转移到 V2 稳定币池进行挖矿。

来源链接

Mars Ecosystem CEO John:成为全新的去中心化稳定币范式

CoinVoice最新获悉:9月10日下午3点,Mars Ecosystem CEO&Founder John做客链节点AMA。AMA期间,John表示,一个去中心化稳定币协议至少需要具有价格稳定性高,去中心化程度高,以及可扩展性高等性质。
他指出,Mars Ecosystem,正是在研究了所有稳定币协议后,所独创的稳定币生态系统,Mars Ecosystem即将成为一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。
Mars Ecosystem目前已经成功筹集了200万美元的种子资金。由硅谷Crypto基金Continue Capital领投。并且已通过了慢雾和CertiK等头部机构的安全审计。
Mars Ecosystem的Farms/Pools具有APR高、可持续性强的设计,保证参与者可以长时间维持较高收益。刚于9月9日晚上新上线了xms挖bnb的单币池,BNB奖励无需线性释放,harvest就能拿走。收益与安全并重的矿池产品吸引了多个社群的关注和参与。未来,Mars Ecosystem还将持续与BSC生态内的多家DeFi协议进行合作。

Avalanche 生态跨链借贷协议 Vee.Finance 完成 530 万美元私募轮融资,主网将于 9 月 14 日上线

CoinVoice最新获悉:Avalanche 生态跨链借贷协议 Vee.Finance 完成 530 万美元私募轮融资,参投方包括 Aussie Capital、AV Star Capital、BCA Investments、Black Mamba Ventures、Cobak、Crypto Avengers、DCI、Favor Ventures、Muhabbit Ventures、New Tribe Capital、Phenomenon Capital、Phoenix VC、Redline DAO、Tokuto Capital、Unpeeld Venture Labs。

Vee.Finance 是基于 Avalanche 的跨链借贷协议,为用户提供抵押借贷、流动性挖矿、杠杆交易等服务。Vee.Finance 表示,协议智能合约已通过慢雾科技 SlowMist 和美国区块链安全审计机构 CertiK 审计,主网将于 9 月 14 日上线。本轮融资完成后,Vee.Finance 将提供限价单系统与衍生品交易,并将部署至更多公链。

来源链接