Chengdu Lianan: El proyecto bDollar ha sido atacado por manipulación de precios, y el atacante obtuvo una ganancia de 2381BNB y la almacenó en el contrato de ataque.

[Chengdu Lianan: el proyecto bDollar sufrió ataques de manipulación de precios, y la ganancia actual del atacante de 2381BNB se almacena en el contrato de ataque] De acuerdo con los datos de monitoreo de la opinión pública de seguridad de la "Plataforma de conciencia situacional de seguridad Chain Bing-Blockchain" de Chengdu Lianan, bDollar proyecto sufrió ataques de manipulación de precios. Dirección del atacante: 0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

Transacción de ataque eth: 0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

Contrato de ataque: 0x6877f0d7815b0389396454c58b2118acd0abb79a

En la actualidad, el atacante ha obtenido una ganancia de 2381BNB, que se almacena en el contrato de ataque.

Otras noticias:

Chengdu Lianan: estamos rastreando el paradero de los fondos del ataque de Ronin: según el monitoreo de la opinión pública de Chengdu Lianan Bing-Blockchain Security Situational Awareness Platform, la cadena lateral Axie Infinity Ronin fue atacada y 173,600 ETH y 25.5 millones de USDC fueron pirateados La cantidad total es de aproximadamente 615 millones de dólares estadounidenses. Aquí, Chengdu Lianan ofrece las siguientes sugerencias para tales proyectos de puentes de cadena cruzada:

1. Preste atención a la seguridad del servidor de firmas;

2. Cuando el servicio de firma se desconecta, la política debe actualizarse a tiempo, el módulo de servicio correspondiente debe cerrarse y la dirección de cuenta de firma correspondiente puede considerarse descartada;

3. Durante la verificación de firmas múltiples, los servicios de firmas múltiples deben aislarse lógicamente y el contenido de la firma debe verificarse de forma independiente. No puede suceder que algunos verificadores puedan solicitar directamente a otros verificadores que firmen sin ser verificados;

4. La parte del proyecto debe monitorear la situación anormal de los fondos del proyecto en tiempo real. [2022/3/30 14:25:56]

Chengdu Lianan: Análisis del ataque a Li.Finance: Golden Finance News, según el monitoreo de la opinión pública de Chengdu Lianan Bing-Blockchain Security Situational Awareness Platform muestra que el protocolo de agregación DEX Li.Finance fue pirateado y perdió alrededor de 600,000 dólares estadounidenses. ataque, el equipo de Chengdu Lianan analizó y encontró que hay un ataque de inyección de llamada en la función swapAndStartBridgeTokensViaCBridge en el contrato atacado, y los parámetros de la llamada pueden controlarse mediante la construcción de datos maliciosos (_swapData). En este ataque, el atacante malintencionadamente construyó la dirección callTo como la dirección del contrato del token correspondiente y llamó a la función transferFrom del contrato del token para transferir los tokens de la dirección de la víctima. [2022/3/21 14:08:55]

Chengdu Lianan: Visor Finance fue atacado análisis de eventos: según el monitoreo de Chengdu Lianan, Visor Finance fue atacado a las 10:18 p. m. del 21 de diciembre de 2021, hora de Beijing. Según el análisis del equipo técnico de Chengdu Lianan, este ataque explotó dos vulnerabilidades del RewardsHypervisor del contrato de minería hipotecaria del proyecto Visor Finance:

1. La llamada no limita el contrato de destino, el atacante puede llamar a cualquier contrato y hacerse cargo del proceso de ejecución del contrato de minería hipotecaria; <- la laguna principal, la causa raíz de este ataque. 2. La función no está protegida contra ataques de reingreso; <- una vulnerabilidad menor, que provocó un error en el cálculo del número de certificados colaterales, no es el principal punto de uso de este ataque, pero también puede usarse para lanzar un ataque solo. En respuesta a estos dos problemas, Chengdu Lianan sugiere que la parte del proyecto debe hacer las dos cosas siguientes: 1. Al solicitar contratos externos, se recomienda agregar una lista blanca para prohibir las solicitudes de contratos arbitrarios, especialmente los contratos clave que pueden controlar la proceso de ejecución del contrato Llamada 2. La función está bien protegida contra la reentrada, se recomienda utilizar el contrato ReentrancyGuard de openzeppelin. [2021/12/22 7:55:18]