Chengdu Lianan: El GymSinglePool del proyecto GYM Network fue atacado

[Chengdu Lianan: GymSinglePool del proyecto GYM Network bajo ataque] El 8 de junio, según los datos de monitoreo de la opinión pública de seguridad de Chengdu Lianan, el GymSinglePool del proyecto GYM Network fue atacado. Debido a que la función _autoDeposit no transfirió los tokens hipotecados, el atacante llamó maliciosamente a la función depositFromOtherContract para mantener las cuentas y extrajo el token GYM de la nada. En la actualidad, 2000BNB se han transferido a Tornado Cash, 3000BNB están almacenados en la cuenta de ataque , y ETH por valor de 700 000 USD se transfirió a Tornado Cash a Ethereum.

Otras noticias:

Chengdu Lianan: Visor Finance fue atacado análisis de eventos: según el monitoreo de Chengdu Lianan, Visor Finance fue atacado a las 10:18 p. m. del 21 de diciembre de 2021, hora de Beijing. Según el análisis del equipo técnico de Chengdu Lianan, este ataque explotó dos vulnerabilidades del RewardsHypervisor del contrato de minería hipotecaria del proyecto Visor Finance:

1. La llamada no limita el contrato de destino, el atacante puede llamar a cualquier contrato y hacerse cargo del proceso de ejecución del contrato de minería hipotecaria; <- la laguna principal, la causa raíz de este ataque. 2. La función no está protegida contra ataques de reingreso; <- una vulnerabilidad menor, que provocó un error en el cálculo del número de certificados colaterales, no es el principal punto de uso de este ataque, pero también puede usarse para lanzar un ataque solo. En respuesta a estos dos problemas, Chengdu Lianan sugiere que la parte del proyecto debe hacer las dos cosas siguientes: 1. Al solicitar contratos externos, se recomienda agregar una lista blanca para prohibir las solicitudes de contratos arbitrarios, especialmente los contratos clave que pueden controlar la proceso de ejecución del contrato Llamada 2. La función está bien protegida contra la reentrada, se recomienda utilizar el contrato ReentrancyGuard de openzeppelin. [2021/12/22 7:55:18]

Yang Xia, CEO de Chengdu Lianan: Las partes del proyecto DeFi deben prestar atención a los problemas de seguridad del contrato: según fuentes oficiales, en el evento comunitario "Era posterior a la epidemia: Oportunidades y desafíos para DeFi" organizado por OKEx, Yang Xia, fundador y CEO de Chengdu Lianan Hablando sobre el reciente ataque dForce, dijo que los proyectos DeFi están creciendo rápidamente. Según nuestras estadísticas, a partir de 2020, los activos bloqueados en las aplicaciones Ethereum DeFi han alcanzado los mil millones de dólares estadounidenses. La popularidad de los proyectos DeFi se debe principalmente a sus altos rendimientos. DeFi también se conoce como "finanzas descentralizadas". La base financiera abierta tiene un rendimiento tan alto como 8%-10%, lo que seguramente estará acompañado de enormes riesgos. Los equipos de DeFi de todas las partes también son libres de desarrollar sus propios productos de contrato, pero no existe un plan de seguridad estándar y unificado que cumplir, o deben pasar auditorías de seguridad estrictas, lo que conduce a varias lagunas en los contratos y problemas de seguridad relacionados que surgen sin cesar. La parte del proyecto del evento debe implementar la protección de reingreso: por ejemplo, use ReentrancyGuard de OpenZeppelin, por otro lado, primero modifique las variables de estado de este contrato y luego realice llamadas externas. Cualquier parte del proyecto Defi debe prestar atención a los problemas de seguridad del contrato al desarrollar contratos para hacer frente a diversas emergencias y diversos usos anormales de los contratos, a fin de evitar pérdidas; al mismo tiempo, se recomienda hacer un buen trabajo en el trabajo de auditoría de seguridad relevante , con la ayuda de blockchain profesional El poder de las empresas de seguridad para evitar posibles riesgos de seguridad. [2020/4/30]

Dinámica | Chengdu Lianan: en octubre se produjeron un total de 5 incidentes de seguridad típicos más: según las estadísticas de Chengdu Lianan Situational Awareness Platform - Beosin Eagle-Eye, en el último mes (octubre), se produjeron un total de 5 incidentes típicos más de seguridad incidentes Estos incluyen: 1. Hubo dos ataques en la cadena EOS este mes: uno fue un ataque EOS falso y el otro fue un problema de parámetros de análisis del servidor del juego. 2. La plataforma de servicios en la nube de Amazon, AWS, estuvo expuesta a un ataque DDoS y se vio obligada a interrumpir el servicio. 3. Safuwallet, una billetera web de criptomonedas, fue pirateada mediante la inyección de un código malicioso para robar una gran cantidad de fondos y causar un desastre en Binance. 4. Los activos robados de Cryptopia comenzaron a transferirse: parte de ETH fluyó hacia Compound, una conocida plataforma de préstamos DeFi, y varios ETH fluyeron hacia un proyecto DApp llamado DeFi 2.0. En vista de la nueva situación actual de la seguridad de la cadena de bloques, Beosin Chengdu Chainan recuerda a todas las plataformas de la cadena que mejoren la conciencia de seguridad, presten atención a los diversos tipos de riesgos de seguridad y busquen la cooperación de las empresas de seguridad cuando sea necesario, y utilicen el soporte técnico de terceros para solucionar las lagunas de seguridad y fortalecer la línea de defensa de seguridad; cada proyecto de billetera debe realizar una revisión de seguridad adicional, mejorar conscientemente la seguridad de la arquitectura del sistema del proyecto y establecer un mecanismo de respuesta de emergencia sólido. En caso de pérdida de activos, puede utilizar la ayuda de las empresas de seguridad para rastrear el origen de los activos; los usuarios deben ser cautelosos al invertir, mantenerse alejados de los fondos y no lamer la sangre. [2019/10/31]