Equipo de seguridad: Nuevas estadísticas Crema Finance fue pirateada y perdió alrededor de $8,8 millones

[Equipo de seguridad: Nuevas estadísticas: Crema Finance fue pirateada y perdió alrededor de $ 8,8 millones] Según las noticias del 4 de julio, según el monitoreo del equipo de seguridad de CertiK, el 3 de julio de 2022, hora de Beijing, el proyecto Crema Finance en Solana fue pirateado Las estadísticas encontraron una pérdida de alrededor de $8.8 millones.

Crema Finance es un poderoso protocolo de liquidez basado en Solana, que brinda varias funciones para comerciantes y proveedores de liquidez. Después de descubrir el hackeo, el proyecto finalizó temporalmente las operaciones para evitar que los atacantes extrajeran más fondos de la plataforma.

El análisis de CertiK muestra que en este hackeo, los atacantes explotaron el contrato usando 6 préstamos flash diferentes en el protocolo Solend. Las investigaciones preliminares revelaron que los atacantes pudieron depositar y retirar tokens prestados llamando a las siguientes tres funciones, "DepositFixedTokenType", "Claim" y "WithdrawAllTokenTypes". Al llamar a la función "Reclamar", los piratas informáticos pueden obtener tokens adicionales.

Otras noticias:

Equipo de seguridad: El servidor Discord del proyecto Arts DAO fue atacado: Jinse Finance News, CertiK detectó que el servidor Discord del proyecto Arts DAO fue atacado. Usuarios de la comunidad, no hagan clic, acumulen ni aprueben ninguna transacción. [2022/9/6 13:11:55]

Equipo de seguridad: El contrato de toma de NFTS del proyecto ownlyio fue atacado, y el monto de la pérdida fue de aproximadamente 36,418 dólares estadounidenses: según las noticias del 11 de mayo, según los datos de monitoreo de la opinión pública de seguridad de la "Plataforma de conciencia situacional de seguridad Chain Bing-Blockchain" de Chengdu Lianan ”, NFTStake of the ownlyio project El contrato fue atacado, con un total de 115 BNB robados y una pérdida de alrededor de $ 36,418. Según el análisis del equipo técnico de Chengdu Chain Security, el motivo de este ataque es que la función de deshacer del contrato de compromiso del proyecto ownlyio no verificó el estado del reclamo del usuario, por lo que el atacante puede usar la función de deshacer para recibir el token propio en el contrato infinitamente, extrayendo así el contrato de compromiso.Todos los tokens propios, y finalmente el atacante intercambió los tokens propios adquiridos por 115 BNB a través de una transacción de par.

Transacción de ataque: 0x2cbe47edb040c710b7f139cbea7a4bced4d6a0d6c5aa4380f445880437ea072f

Dirección del atacante: 0xba31058357ea2f474a2ed0d1b3f9183904ebd38a

Contrato del atacante: 0xa81ea095e0c3708e4236c71146748fa15b620386[2022/5/11 3:06:00]

Dinámica | El equipo de seguridad de SlowMist analiza el ataque al juego de preguntas sobre contratos de EOS FFgame: Según el equipo de seguridad de SlowMist, para el análisis del ataque al juego de preguntas sobre contratos de EOS FFgame, el equipo de seguridad de SlowMist se comunicó con el fundador de FIBOS, Thief and Retest especulaciones: El atacante implementa el contrato de ataque y usa el mismo algoritmo que FFgame para calcular el número aleatorio en el contrato, e inmediatamente usa el número aleatorio para atacar el contrato en inline_action después de que se genera el número aleatorio, lo que hace que se "prediga" el resultado ganador. , logrando así una tasa de adjudicación súper alta. El atacante ha sido monitoreado por SlowMist en busca de cambios en la cuenta desde el primer robo de monedas.En la madrugada de esta mañana (11.8), la inteligencia de amenazas se sincronizó con la plataforma de intercambio relevante por primera vez.

El equipo de seguridad de SlowMist recuerda a los desarrolladores similares: No introduzcan semillas de números aleatorios controlables o predecibles, no debería existir ninguna casualidad. [2018/11/8]