[安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查]据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。
网络安全公司Red Balloon要求面试者破解包含加密货币的硬盘:金色财经报道,在挑选安全人员时,网络安全公司Red Balloon Security要求面试者解锁包含比特币的加密硬盘。任何破解加密硬盘的人都可以获得0.1337 BTC,约合4800美元。据称,该公司向几乎所有申请人都发送了测试包,但成功率约为1%。[2021/1/19 16:28:40]
安全公司:PlusToken又一涉案地址开始转账:北京链安Chainsmap监测系统发现,15pyB7开头的PlusToken涉案地址于北京时间3月5日上午9:27分开始转账,其中7023BTC打入到一个新的地址,这也是该地址自从去年9月20日之后首次转账。[2020/3/5]
声音 | 美国安全公司:去年以来朝鲜的门罗币挖矿规模增长了至少10倍:美国网络安全公司Recorded Future称,自2019年5月以来,来自朝鲜IP范围的XMR挖矿的网络流量增加了至少10倍,这意味着朝鲜更倾向于挖掘门罗币而非比特币,进而试图利用这种以隐私为中心的加密货币绕过国际制裁。(CryptoGlobe)[2020/2/14]
郑重声明: 安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。