Niebla lenta: el contrato de ejemplo ERC721R tiene defectos, esencialmente debido al problema de la autoridad excesiva del propietario

[Niebla lenta: el contrato de muestra ERC721R tiene fallas, esencialmente debido al problema de autoridad excesiva del propietario] Según las noticias del 12 de abril, según @BenWAGMI, la falla en el contrato de muestra ERC721R puede hacer que la parte del proyecto use este problema para realizar RugPull. Según el análisis preliminar del equipo de seguridad de SlowMist, esta falla se debe esencialmente a la autoridad excesiva del propietario.En el contrato de muestra ERC721R, el propietario puede establecer arbitrariamente la dirección NFT que recibe el reembolso del usuario a través de la función setRefund Address .

Cuando la dirección de devolución tiene el NFT de destino, puede realizar operaciones de reembolso de forma continua llamando a la función de reembolso para agotar los fondos de compra bloqueados por el usuario en el contrato. Y hay una función de acuñación del propietario en el contrato de muestra, el propietario puede acuñar cuando la acuñación de NFT no alcanza el suministro total. Por lo tanto, la realización de ERC721R sigue siendo para prevenir caballeros pero no villanos. El equipo de seguridad de SlowMist recomienda que los usuarios realicen una evaluación de riesgos al participar en NFTmint, independientemente de si la parte del proyecto usa ERC721R o no.

Otras noticias:

Slow Mist: los tokens BUSD en el contrato DOD se retiraron inesperadamente, principalmente porque el BUSD bloqueado en el contrato generará un espacio de arbitraje bajo el bajo precio de DOD: según información del Distrito Slow Mist, el 10 de marzo de 2022, DOD el la cadena BSC Los tokens BUSD bloqueados en el proyecto se retiraron inesperadamente. Los motivos del análisis por parte del equipo de seguridad de SlowMist son los siguientes:

1. El proyecto DOD utiliza un mecanismo de bloqueo específico. Cuando la cantidad de BUSD en el contrato DOD es superior a 99 999 000 o la cantidad de DOD destruida supera los 99 999 000 000 000 o el suministro total de DOD es inferior a 1 000 000 000, el desbloqueo del DOD El contrato se activará Si no se cumplen las condiciones anteriores, el DOD El contrato también se desbloqueará automáticamente después de cinco años. Después de desbloquear el contrato DOD, el usuario obtendrá 1/10 del token BUSD después de transferir la cantidad especificada de tokens DOD al contrato DOD, es decir, cuantos más tokens DOD se transfieran, más BUSD se obtendrán.

2. Sin embargo, debido al bajo precio de los tokens DOD, los usuarios malintencionados usaron 2,8 BNB para intercambiar 99 990 000 DOD.

3. Luego tome prestada una gran cantidad de BUSD de cada grupo y transfiérala al contrato del DOD para cumplir con la condición de desbloqueo de que la cantidad de BUSD en el contrato sea superior a 99 999 000.

4. Después de eso, solo necesita llamar a la función de intercambio en el contrato DOD para transferir los tokens DOD retenidos al contrato DOD, y puede retirar 1/10 de los tokens BUSD transferidos.

5. Por lo tanto, los tokens BUSD en el contrato DOD se retiran inesperadamente.

La razón principal del retiro inesperado de los tokens BUSD en el contrato del DOD esta vez es que la parte del proyecto no consideró que el bajo precio del DOD y el BUSD encerrado en el contrato crearían un espacio de arbitraje. El equipo de seguridad de SlowMist sugiere que la influencia de varios factores se debe considerar completamente al diseñar el modelo económico. [2022/3/10 13:48:45]

Los atacantes de SlowMist: PAID Network llaman directamente a la función mint para acuñar monedas: SlowMist Technology publicó un artículo analizando el ataque a PAID Network. El artículo señala que después de descompilar el contrato de fuente no abierta, se encuentra que la función mint del contrato tiene autenticación, y esta dirección es la dirección del atacante (0x187...65be). Dado que el contrato no es de código abierto, es imposible ver una lógica más específica y solo se puede analizar en función de la situación existente. Según el análisis de SlowMist Technology, puede ser que la clave privada de la dirección (0x187...65be) haya sido robada, u otras razones provocaron que el atacante llamara directamente a la función mint para acuñar monedas arbitrariamente.

Anteriormente se informó que PAID Network fue atacado alrededor de las 0 en punto de hoy, y se emitieron casi 60 millones de tokens PAGADOS. Según el precio en ese momento, eran alrededor de 160 millones de dólares estadounidenses, y el pirata informático obtuvo una ganancia de 2,000 ETH. [2021/3/6 18:21:08]

Niebla lenta: el error del software Let's Encrypt conduce a la revocación de 3 millones de certificados el 4 de marzo: Let's Encrypt Debido a un error en el código de back-end, el proyecto Let's Encrypt revocará más de 3 millones de certificados TLS. Los detalles son que el error afectó a Boulder, el software de servidor utilizado por el proyecto Let's Encrypt para verificar usuarios y sus dominios antes de emitir certificados TLS. El equipo de seguridad de SlowMist recuerda: Muchos sitios o sistemas internos en la industria de la moneda digital utilizan los certificados autofirmados de Let's Encrypt con fines de seguridad; confirme a tiempo si están afectados. Si se ve afectado, actualice el certificado a tiempo para evitar riesgos impredecibles. Los usuarios pueden consultar el enlace original para verificar en línea si el certificado está afectado. [2020/3/4],