Equipo de seguridad: El servidor Discord del proyecto Llamaverse fue atacado

[Equipo de seguridad: servidor de Discord del proyecto Llamaverse atacado] Golden Finance News, según el monitoreo de CertiK, el servidor de Discord del proyecto Llamaverse ha sido atacado. Usuarios de la comunidad, no hagan clic, acumulen ni aprueben ninguna transacción.

Otras noticias:

Equipo de seguridad: la dirección de Transit Swap ha transferido 3180 ETH a la dirección que comienza con "0xfab": según las noticias del 2 de octubre, según la detección de Paidun, la dirección de Transit Swap Exploiter (que comienza con 0x75f) ha transferido 3180 ETH ( con un valor aproximado de $ 4,17 millones) a la dirección que comienza con "0xfab". [2022/10/2 18:37:26]

Equipo de seguridad: nuevas estadísticas Crema Finance fue pirateada y perdió alrededor de $ 8,8 millones: según las noticias del 4 de julio, según el monitoreo del equipo de seguridad de CertiK, el 3 de julio de 2022, hora de Beijing, el proyecto Crema Finance en Solana fue pirateado. últimas estadísticas Los datos encontraron una pérdida de alrededor de $ 8,8 millones.

Crema Finance es un poderoso protocolo de liquidez basado en Solana, que brinda varias funciones para comerciantes y proveedores de liquidez. Después de descubrir el hackeo, el proyecto finalizó temporalmente las operaciones para evitar que los atacantes extrajeran más fondos de la plataforma.

El análisis de CertiK muestra que en este hackeo, los atacantes explotaron el contrato usando 6 préstamos flash diferentes en el protocolo Solend. Las investigaciones preliminares revelaron que los atacantes pudieron depositar y retirar tokens prestados llamando a las siguientes tres funciones, "DepositFixedTokenType", "Claim" y "WithdrawAllTokenTypes". Al llamar a la función "Reclamar", los piratas informáticos pueden obtener tokens adicionales. [2022/7/4 1:48:33]

El equipo de seguridad de Cobo explicó la vulnerabilidad de Stargate en detalle: puede hacer que los recibos de transacciones falsificados pasen la verificación MPT: El 29 de marzo, el equipo de seguridad de Cobo escribió un artículo para analizar la vulnerabilidad de seguridad del protocolo subyacente LayerZero de la cadena cruzada de Stargate. bridge, diciendo que el código de vulnerabilidad original fue verificado por MPT, sin restringir el puntero a la longitud de proofBytes, esta vulnerabilidad puede permitir que el atacante falsifique el hashRoot, lo que hace que el recibo de transacción falsificado pase la verificación de MPT. La consecuencia final es que, bajo la premisa de que la máquina del oráculo es completamente confiable, el retransmisor aún puede atacar unilateralmente el protocolo de cadena cruzada falsificando los datos del recibo.

Vale la pena señalar que el código que expuso la vulnerabilidad esta vez es el código de la parte central de verificación de transacciones MPT del protocolo LayerZero, que es la piedra angular del funcionamiento normal de todos los protocolos LayerZero y de capa superior (como Stargate) . El equipo de seguridad de Cobo también declaró que la mayoría de los contratos clave del proyecto LayerZero están actualmente controlados por la EOA, y no se adopta ningún mecanismo de firma múltiple o mecanismo de bloqueo de tiempo. Si se filtran las claves privadas de estos EOA privilegiados, los activos de todos los protocolos de capa superior también pueden verse afectados. [2022/3/29 14:24:49]