Equipo de seguridad: los atacantes de la plataforma QAN transfirieron 186 ETH a través de Tornado Cash.

[Equipo de seguridad: los atacantes de la plataforma QAN transfirieron 186 ETH a través de Tornado Cash] Jinse Finance informó que, según el monitoreo del equipo de seguridad de CertiK, los atacantes de la plataforma QAN transfirieron 186 ETH (por un valor aproximado de $365 000) a través de Tornado Cash. Dirección de la billetera: ETH: 0xc6d3F752A65Df7fb937B25C55Bea6Ae7E70f07Ce.

Otras noticias:

Equipo de seguridad: se sospecha que Stader NearX está siendo explotado, NEARx cayó más del 99 %: Jinse Finance News, según la detección de PeckShield, se sospecha que Stader NearX está siendo explotado, NEARx cayó un 99,8 %. Se informa que Stader.Near ha suspendido sus contratos inteligentes y los usuarios no pueden hacer apuestas, retirar apuestas ni retirar fondos durante este período.

Stader.Near publicó en sus redes sociales oficiales que los piratas informáticos aprovecharon una laguna en el contrato inteligente NearX, lo que provocó una pérdida de alrededor de 165 000 NEAR (aproximadamente $880 000). Los usuarios que apuestan en NearX dapp aún no se han visto afectados, los desarrolladores y el equipo de seguridad de Stader.Near están trabajando arduamente para resolver el problema. [2022/8/17 12:30:19]

El equipo de seguridad de Cobo explicó la vulnerabilidad de Stargate en detalle: puede hacer que los recibos de transacciones falsificados pasen la verificación MPT: El 29 de marzo, el equipo de seguridad de Cobo escribió un artículo para analizar la vulnerabilidad de seguridad del protocolo subyacente LayerZero de la cadena cruzada de Stargate. bridge, diciendo que el código de vulnerabilidad original fue verificado por MPT, sin restringir el puntero a la longitud de proofBytes, esta vulnerabilidad puede permitir que el atacante falsifique el hashRoot, lo que hace que el recibo de transacción falsificado pase la verificación de MPT. La consecuencia final es que, bajo la premisa de que la máquina del oráculo es completamente confiable, el retransmisor aún puede atacar unilateralmente el protocolo de cadena cruzada falsificando los datos del recibo.

Vale la pena señalar que el código que expuso la vulnerabilidad esta vez es el código de la parte central de verificación de transacciones MPT del protocolo LayerZero, que es la piedra angular del funcionamiento normal de todos los protocolos LayerZero y de capa superior (como Stargate) . El equipo de seguridad de Cobo también declaró que la mayoría de los contratos clave del proyecto LayerZero están actualmente controlados por la EOA, y no se adopta ningún mecanismo de firma múltiple o mecanismo de bloqueo de tiempo. Si se filtran las claves privadas de estos EOA privilegiados, los activos de todos los protocolos de capa superior también pueden verse afectados. [2022/3/29 14:24:49]

El equipo de seguridad de SlowMist publicó el análisis de vulnerabilidad de transferencia de moneda ilimitada del contrato inteligente de BEC y la alerta temprana: se entiende que alrededor de las 13:00 del 22 de abril, se produjeron transacciones anormales en BEC. El equipo de seguridad de SlowMist analizó de inmediato y encontró que la función de transferencia por lotes batchTransfer en el contrato inteligente BEC (https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d) tiene una laguna, y el atacante puede pasar un valor de gran valor, haciendo cnt* valor Después de exceder el valor máximo de unit256, se desborda y la cantidad se convierte en 0.

A través de este análisis, el equipo de seguridad de SlowMist recomienda que los desarrolladores de contratos inteligentes verifiquen estrictamente si el monto total transferido es mayor que 0 durante las transferencias por lotes y ejecuten la operación saldos[msg.sender].sub(valor) en el ciclo for.

Este tipo de vulnerabilidad es una vulnerabilidad destructiva irreversible.El equipo de seguridad de SlowMist recomienda que otros emisores de contratos inteligentes realicen un autoexamen de manera oportuna. [2018/4/23]