为您找到相关结果约 105 个:
CoinVoice最新获悉:12 月 24 日,慢雾科技官方微博发布安全提醒,文中表示据慢雾安全情报显示,近期存在项目因 Discord、Telegram 管理账户权限设置问题而造成管理账户被接管,并通过公告频道发布钓鱼链接,导致社区用户遭受损失事件。因此提醒用户注意添加频道权限设置,管理公告发布,预防仿冒官方人员名称发布公告及网络链接钓鱼问题。[原文链接]
CoinVoice最新获悉:12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队对事故进行分析: 1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。 2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币 (预期接收 want 代币,本次攻击中应为 SPIRIT-LP) 的差值为用户铸造抵押凭证。 3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。 4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。 此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。 此前报道,12 月 19 日,据官方消息,Fantom 链上复合收益平台 Grim Finance 遭遇闪电贷攻击,目前损失已超 3000 万美元。攻击者使用 Grim Finance 的保险库策略中名为「beforeDeposit()」的函数进行攻击,输入恶意 Token 合约。目前 Grim Finance 已经暂停所有的金库,提醒用户立即撤回所有资产。[原文链接]
CoinVoice最新获悉:12 月 18 日,a16z 合伙人 Chris Dixon 在社交媒体上发文表示表示,「区块链比传统计算机慢」是事实,这是在性能和对用户和开发者做出长期承诺之间的权衡。区块链是可以做出承诺的计算机,它和不能做出承诺的计算机(=谷歌/AWS 服务器)之间的性能差距将随着时间的推移而缩小。区块链的一个了不起的特点是,任何人都可以不经许可加入,并成为网络中的矿工/验证者。但我们也需要一些系统来筛选参与者,以避免垃圾邮件/攻击。因此,有了工作量证明和权益证明。[原文链接]
CoinVoice最新获悉:12月10日消息,据安全机构慢雾官方消息,有用户在 OpenSea 挂单售卖的 NFT 被恶意的以远低于挂单价匹配买。经慢雾安全团队分析,此是由于该受害用户遭受钓鱼攻击,错误的对攻击者精心构造的恶意订单进行签名,恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售 NFT 为受害用户在 OpenSea 上架的待出售 NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在 OpenSea 中进行匹配,并以攻击者指定的极低价格成交,导致受害用户的 NFT 以非预期的价格售出。
CoinVoice最新获悉:10 月 30 日攻击去中心化交易协议 BXH 的黑客在洗币过程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兑换平台,其中部分 ETH 代币被兑换成 BTC。此外,黑客现已将 13304.6 ETH、642.88 BTCB 代币从 BSC 链转移到 ETH、BTC 链,目前,初始黑客获利地址仍有 15546 BNB 和价值超 3376 万美元的代币。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:据慢雾区情报,2021 年 10 月 30 日,去中心化交易协议 BXH 遭受攻击,被盗约 1.3 亿美元。经慢雾安全团队分析,黑客于 27 日 13 时 (UTC) 部署了攻击合约 0x8877,接着在 29 日 08 时 (UTC) BXH 项目管理钱包地址 0x5614 通过 grantRole 赋予攻击合约 0x8877 管理权限。30 日 03 时 (UTC) 攻击者通过攻击合约 0x8877 的权限从 BXH 策略池资金库中将其管理的资产转出。30 日 04 时 (UTC) 0x5614 暂停了资金库。
因此 BXH 本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。
CoinVoice最新获悉:去中心化交易协议 BXH 于今日在币安智能链(BSC)遭到攻击,目前,初始黑客获利地址(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)已将 4000 ETH 从 BSC 链转移到 ETH 链,接着将 300 BTCB 兑换为 renBTC 跨链到地址 (1Jw...9oU 和 1Fr...Vow)。BXH 团队表示在⽕币⽣态链( Heco)、OEC 以及以太坊上的资产处于安全状态,但出于安全考虑,官方暂时暂停了存取款服务。慢雾 AML 将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:跨链借贷协议 Vee.Finance V2 宣布将于 10 月 7 日 22:00 在 Avalanche 上线主网。Vee.Finance 称,V2 将提供借贷和交易功能,并支持使用钱包中的 VEE 进行挖矿,V2 智能合约已通过慢雾科技安全审计。
Vee.Finance 还表示,会将 V1 稳定币板块的挖矿率调整为 0,并将挖矿奖励迁移至 V2,并提醒用户在 10 月 10 日之前将 V1 稳定币池中资金转移到 V2 稳定币池进行挖矿。
CoinVoice最新获悉:9月10日下午3点,Mars Ecosystem CEO&Founder John做客链节点AMA。AMA期间,John表示,一个去中心化稳定币协议至少需要具有价格稳定性高,去中心化程度高,以及可扩展性高等性质。
他指出,Mars Ecosystem,正是在研究了所有稳定币协议后,所独创的稳定币生态系统,Mars Ecosystem即将成为一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。
Mars Ecosystem目前已经成功筹集了200万美元的种子资金。由硅谷Crypto基金Continue Capital领投。并且已通过了慢雾和CertiK等头部机构的安全审计。
Mars Ecosystem的Farms/Pools具有APR高、可持续性强的设计,保证参与者可以长时间维持较高收益。刚于9月9日晚上新上线了xms挖bnb的单币池,BNB奖励无需线性释放,harvest就能拿走。收益与安全并重的矿池产品吸引了多个社群的关注和参与。未来,Mars Ecosystem还将持续与BSC生态内的多家DeFi协议进行合作。
CoinVoice最新获悉:Avalanche 生态跨链借贷协议 Vee.Finance 完成 530 万美元私募轮融资,参投方包括 Aussie Capital、AV Star Capital、BCA Investments、Black Mamba Ventures、Cobak、Crypto Avengers、DCI、Favor Ventures、Muhabbit Ventures、New Tribe Capital、Phenomenon Capital、Phoenix VC、Redline DAO、Tokuto Capital、Unpeeld Venture Labs。
Vee.Finance 是基于 Avalanche 的跨链借贷协议,为用户提供抵押借贷、流动性挖矿、杠杆交易等服务。Vee.Finance 表示,协议智能合约已通过慢雾科技 SlowMist 和美国区块链安全审计机构 CertiK 审计,主网将于 9 月 14 日上线。本轮融资完成后,Vee.Finance 将提供限价单系统与衍生品交易,并将部署至更多公链。
CoinVoice最新获悉:Vee.Finance 近日完成280万美元私募B轮融资,距离上次A轮融资仅过去一周时间。至此,Vee.Finance 共完成530万美元私募轮融资。
B轮融资由Aussie Capital、AV Star Capital、BCA Investments、Black Mamba Ventures、Cobak、Crypto Avengers、DCI、Favor Ventures、Muhabbit Ventures、New Tribe Capital、Phenomenon Capital、Phoenix VC、Redline DAO、Tokuto Capital、Unpeeld Venture Labs等机构参与。
Vee.Finance 是基于 Avalanche 的DeFi跨链借贷协议,为用户提供抵押借贷、流动性挖矿、杠杆交易等服务。Vee.Finance 智能合约先后通过慢雾科技 SlowMist 和美国区块链安全审计机构 CertiK 审计,主网将于9月14日上线。在此前的A轮融资中,Vee.Finance 获得了Huobi Ventures Blockchain Fund 和 Avalanche Asia Eco Fund AVATAR 领投的种子轮投资以及AC Capital、LD Capital、AP Capital、Avalaunch、BCA Investments、CatcherVC、Momentum 6、Chronos Ventures、Cobak、Damo Labs、Dutch Crypto Investors、FBG Capital、Panony、 Kryptos Research、Lancer Capital、Limestone Capital、MEXC Global、Mint Ventures、NGC Ventures、Ti Capital、ViaBTC Capital、7 O'Clock Capital和Waterdrip Capital等机构的投资。
CoinVoice最新获悉:2021 年 9 月 12 日,Avalanche 上 Zabu Finance 项目遭受闪电贷攻击,慢雾安全团队针对此过程进行分析,具体攻击步骤如下:
此次攻击是由于 Zabu Finance 的抵押模型与 SPORE 代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。
参考:
攻击合约 1:0x0e65Fb2c02C72E9a2e32Cc42837df7E46219F400
攻击合约 2:0x5c9AD7b877F06e751Ee006A3F27546757BBE53Dd
抵押交易:0xf76b37ed46c218d4b791e9769b139c3e1f43d1888f37ff0a647c7a8bb58528fb
攻击交易:0x0d65ce5c7a0c072b14ec5da08488d07778f334a7ddb6b7a30df97f274f3e1eb3
获利交易:0x8b3042e55a63f39bb388240a089cf4d51e59abe7cb0bff303c6dbb19eaeb75ac
CoinVoice最新获悉:慢雾智能合约安全审计服务新增 Solana 安全审计项,包含重入、重放、重排漏洞、拒绝服务漏洞、条件竞争漏洞等 12 项安全审计项目。截止目前,慢雾已审计过多个 Solana 生态项目,包括收益聚合平台 Solyard.Finance、借贷平台 Larix 等。
CoinVoice最新获悉:本体支持 EVM 的测试网正式部署并向全球开发者开放 EVM 兼容公测,开发者们可在测试网上通过「本体桥」将本体原生 OEP-4 代币转换为 ORC-20 代币,并添加到自己的 MetaMask 钱包内,随后进行 DApp 的部署测试。同时本体区块浏览器、本体 EVM 智能合约开发文档以及本体 EVM 支持的 Web3 API 也已完成相关升级,以方便以太坊开发者们进行 DApp 部署。
此外,本体还与代码审计机构慢雾科技合作发布「本体安全漏洞与威胁情报赏金计划」,上报单个有效漏洞最高可奖励 12000 美金,旨在鼓励开发者们就本体 EVM 集成后的整体网络、协议、智能合约、虚拟机和密码算法等方面作实现与使用安全性方面的再确认,本体团队会根据开发者所上报漏洞的重要性与慢雾一起进行评级,并给与相应奖励。
CoinVoice最新获悉:据慢雾区情报,DAO Maker 的 Vesting 合约遭到黑客攻击。DeRace Token (DERC)、Coinspaid (CPD)、Capsule Coin (CAPS)、Showcase Token (SHO)都使用了 Dao Maker 的分发系统,在 DAO Maker 中进行持有者发行(SHO)时因 DAO Maker 合约被攻击,即 SHO 参与者的分发系统中出现了一个漏洞:init 未初始化保护,攻击者初始化了 init 的关键参数,同时变更了 owner,然后通过 emergencyExit 将目标代币盗走,并兑换成了 DAI,攻击者最终获利近 400 万美元。
黑客利用 Vesting 合约中的漏洞,将 Vesting 合约中的代币提走,如下是简要分析:
对 Vesting 合约的实现合约 0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2 进行反编译得到如下信息:
CoinVoice最新获悉:据慢雾 MistTrack 反洗钱分析系统追踪发现,俄罗斯庞氏骗局项目 Finiko 的以太坊钱包累计处理了近 7 亿美元的 USDT/USDC 充提操作,比特币钱包累计处理了上万枚 BTC 的充提操作。慢雾 AML 团队统计发现,该项目的用户钱包地址总数量达上百万个,预计受损用户有几十万人,此外,该项目发行的代币 Finiko (FNK)在 Uniswap 上还有几十万美元的流动性。
此前报道,俄罗斯警方逮捕了 Finiko 公司的联合创始人 Kirill Doronin,Finiko 允许用户投资比特币而获得 Finiko 的原生代币收益,并设置了推广奖励。此前预估 Finiko 积累的赃款多达 70 亿卢布,或接近 9500 万美元。
CoinVoice最新获悉:Bilaxy 币系交易所更新被黑细节,Bilaxy 于 UTC 时间 8 月 28 日 18:00 至 19:00 期间遭受严重黑客攻击,约 295 种 ERC20 代币被黑客攻击并被转移到以 0xA14 开头的地址,据慢雾分析价值超过 2100 万美元。Bilaxy 称 19:00 暂停网站并将数百种代币从热钱包转移到冷钱包,未来几天将联合专业的权威安全机构,进行彻底的系统安全审计和调查,并向当地警察机构报告黑客案件,尽力追踪和追回被盗资金。Bilaxy 表示在这次黑客事件中损失惨重,至少需要 2 周的时间来彻底调查黑客事件,重建系统架构,以确保系统和资产的安全。
CoinVoice最新获悉:据慢雾 AML 旗下 MistTrack 反洗钱追踪系统监测显示,8 月 29 日凌晨 3 点前后一个多小时内,黑客陆续从 Bilaxy 的以太坊热钱包地址转移走包括 ETH 在内的 296 种代币,价值超过 2100 万美元。目前黑客地址上的相关资产暂未进一步转移。慢雾 AML 团队表示将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:在日本加密货币交易所 Liquid 热钱包被盗后,团队表示已经向新加坡金融管理局(MAS)提交了一份可疑交易报告(STR),并且已通过代币发行商冻结了大约 1740 万美元的 ERC-20 代币。
此前 Liquid 表示在热钱包遭到攻击后,就将资产转移到了冷钱包中。据慢雾 MistTrack 反洗钱追踪系统监测显示,黑客已经将代币分散转移至多个地址,并通过各种手段换成 ETH 并转入以太坊混币器 Tornado.Cash。
CoinVoice最新获悉:据慢雾 AML 旗下 MistTrack 反洗钱追踪系统监测显示,8 月 19 日攻击 Liquid 的黑客不断将代币分散转移至多个地址,并通过 Uniswap、1inch 等平台将代币兑换为 ETH 后转回到黑客以太坊地址(0x557...946),再将 ETH 转出到新地址(0x37a...786),该新地址已开始将 ETH 转入 Tornado Cash。截止今日 16:55,黑客已将 3000 ETH 转入 Tornado Cash。此外,其他未兑换的代币仍分散于多个地址。慢雾 AML 团队表示将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:据慢雾 AML 旗下 MistTrack 反洗钱追踪系统监测显示,北京时间 8 月 16 日 15 时 14 分,KuCoin 黑客开始集中转币洗钱。目前共转出超 43 万美元,包括 2 枚 ETH、2720 万枚 CSP、1794 万枚 SYLO。其中,239 万枚 SYLO 兑换为 ETH 后转移了 4.37ETH 到币安以 0xbb3 开头的地址,1555 万 SYLO 转移到了 KuCoin 以 0x71a 开头的地址,860 万枚 CSP 转移到了 KuCoin 以 0x90e 开头的地址,另外有 1 枚 ETH 和 1860 万枚 CSP 转回到了以 0xeb3 开头的黑客地址。 慢雾 AML 团队表示,将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
CoinVoice最新获悉:区块链安全团队慢雾表示,经链上信息分析,目前已知一个 Neko Network 攻击者地址获得 200 万 USDT、39 万 BUSD 和 1 BTCB,攻击者已经利用 Pancake 将盗取资产换得 6390 枚 BNB,其中 2871 枚 BNB (约合 112 万美元)退还给 Neko Network 团队地址。扣除退回的资金,黑客获利 3519 枚 BNB。黑客持续以一次 100 枚 BNB 的规模转至 Tornado Cash 混币。截止发稿时,黑客地址还剩 2020 枚 BNB。
此外,慢雾团队还发现了另外两个不同的攻击地址,将获利的 72 万美元资产退还给了项目方。
早先报道,币安智能链(BSC)上借贷协议 Neko Network 遭受攻击,攻击者利用协议漏洞以用户名义抵押资产,并将借得资金直接发送至攻击者自己的地址,Neko Network 所有资产池已冻结以避免更多攻击发生,由于时间锁的设定,需等待 24 小时才能开发资金池,让用户提出池内资金。Neko Network 是由零息货币市场协议 Maze Protocol 团队开发的产品。
CoinVoice最新获悉:去中心化聊天和钱包工具 Status 推出节点奖励计划,为运行 Status Node (节点)的前 100 个参与者提供价值 100 美元的 SNT 代币,参与者需要运行节点至少三个月的时间。Status Node 可以提高 Status 网络的去中心化程度,聊天信息将被加密并在多个节点之间传输,虽然可能比中心化的模式慢,但它是无需信任的,而且无法审查。Status Node 节点需要运行一个修改版本的以太坊节点客户端,目前已经开源,只需要一台兼容的计算机(Linux、macOS 或其他云服务)。
CoinVoice最新获悉:针对跨链互操作协议 Poly Network 被黑客攻击的事件,慢雾安全团队分析称是由于跨链合约 keeper 被修改为黑客制定地址,从而使黑客可以随意构造交易从合约中取出任意数量的资金,具体如下:
本次攻击的核心在于 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数可以通过 _executeCrossChainTx 函数执行具体的跨链交易。
由于 EthCrossChainData 合约的 owner 为 EthCrossChainManager 合约,因此 EthCrossChainManager 合约可以通过调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数修改合约的 keeper。
其中 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数是可以通过内部调用 _executeCrossChainTx 函数执行用户指定的跨链交易,所以攻击者只需要通过 verifyHeaderAndExecuteTx 函数传入精心构造的数据来使 _executeCrossChainTx 函数执行调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数以改变 keeper 角色为攻击者指定的地址。
替换完成 keeper 角色地址后,攻击者即可随意构造交易从合约中取出任意数量的资金了。
CoinVoice最新获悉:慢雾安全团队表示,已经通过链上及链下信息追踪发现 Poly Network 攻击者的邮箱、IP 及设备指纹等信息,正在追踪 Poly Network 攻击者相关的可能身份线索。通过慢雾合作伙伴 Hoo 虎符及多家交易所的技术支持下,慢雾安全团队发现,黑客初始的资金来源是门罗币 (XMR),然后在交易所里换成了 BNB、ETH、MATIC 等币种,分别提币到 3 个地址,不久后在 3 条链上发动攻击。慢雾安全团队称,「结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为」。