BTC/HKD+0%
ETH/HKD+0.47%
LTC/HKD-0.3%
DOT/HKD+0.33%
ADA/HKD-0.18%
SOL/HKD-0.07%
XRP/HKD+0.33%
DOGE/US+1.51%金色財經報道,近期,慢霧安全團隊發現有黑客組織利用Calendly的功能,使用“添加自定義鏈接”在事件頁面上插入惡意鏈接發起釣魚攻擊。Calendly 是一款非常受歡迎的免費日歷應用程序,用于安排會議和日程,通常被組織用于預約活動或發送即將到來的活動的邀請。黑客組織通過Calendly發送惡意鏈接與大多數受害者的日常工作背景很好地融合在一起,因此這些惡意鏈接不容易引起懷疑,受害者容易無意中點擊惡意鏈接,在不知覺中下載并執行惡意代碼,從而遭受損失。
慢霧安全團隊提醒大家在使用Calendly的時候,如果發現界面上有鏈接,請注意識別鏈接的來源和域名,避免遭受攻擊。可以在點擊鏈接之前將鼠標移到文本上方,此時在瀏覽器的左下方會展示文本對應的鏈接地址,在點擊之前請仔細核對好鏈接地址,避免訪問到釣魚鏈接。
其它快訊:
慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。
2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。
3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。
4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。
針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[6/16/2022 11:45:19 AM]
慢霧:Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋,Moonbirds 發布安全公告,Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣,而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架,如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[5/30/2022 11:23:09 AM]
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[4/28/2022 10:35:41 AM]
金色財經報道,BNB Chain官方表示,BSC和opBNB測試網均已修復。其它快訊:鏈游Meta Apes成為首個部署至BNB應用側鏈的P2E游戲:6月1日消息,Meta Apes宣布已將主網部署至BNB應用側鏈.
Block Chain:11/30/2023 9:55:03 AM金色財經報道,為了啟動 HOOKED 2.0 提案,Hooked Protocol 將推出 5000 萬美元的教育生態系統基金,并開展教育機構合作.
Block Chain:11/30/2023 9:55:02 AM11月30日消息,Bounce Finance在社交媒體X發文表示,BitStable的BSSB Token Launch質押拍賣輪次已結束。用戶現在可以申領BSSB分配和任何退還的AUCTION代幣.
Block Chain:11/30/2023 9:54:56 AM金色財經報道,Bitcoin Magazine首席執行官David Bailey在X上發文稱,我的iCloud今晚被黑了,不要與我的任何直接消息互動。我的電子郵件及電話號碼是安全的.
Block Chain:11/30/2023 9:54:55 AM金色財經報道,據官方消息,韓國加密交易所Upbit 將上線 ID,目前僅支持 BTC 市場交易對,將于當地時間 18:00 開始交易。 行情顯示,ID 現報0.33美元,24小時漲幅達25.7%。行情波動較大,請做好...
Block Chain:11/30/2023 9:54:54 AM11月30日消息,據PeckShield監測,Uranium Finance攻擊者將800枚ETH轉至Tornado Cash其它快訊:DeFi保險協議InsurAce啟動Rinkeby測試網:2月28日消息.
Block Chain:11/30/2023 9:54:52 AM11月30日消息,慢霧創始人余弦表示,Safe多簽錢包的用戶交互安全有點尷尬啊,這么初級的安全風險都沒應對:錢包地址只顯示了首位4 個字符(不含0x),確實加大了上當可能,這都快2024年了.
Block Chain:11/30/2023 9:54:50 AM11月30日消息,據BTC.com數據信息,昨日比特幣全網手續費僅為63.6 BTC,較11月16日單日全網手續費317.4 BTC減少了9.9%,目前恢復至11月初處同一水平.
Block Chain:11/30/2023 9:54:48 AM11月30日消息,Web3 Foundation將通過Centrifuge在RWA領域進行100萬美元的試點投資,該筆投資將用于Anemoy即將在Centrifuge上推出的美國國庫券.
Block Chain:11/30/2023 9:54:47 AM11月30日消息,Deribit數據顯示,名義價值超過11.2億美元BTC期權和超過4.69億美元ETH期權合約將于周五(12月1日)到期交割。其中BTC的最大痛點價格為3.7萬美元;ETH的最大痛點價格為2100美元.
Block Chain:11/30/2023 9:54:46 AM金色財經報道,比特幣非托管P2P訂單簿服務提供商Saturn宣布完成超50萬美元Pre-Seed輪融資,Big Brain Holdings領投.
Block Chain:11/30/2023 9:54:45 AM金色財經報道,Sui Network官方宣布阿聯酋孵化器Hub71已與Mysten Labs達成合作將支持Sui生態項目,據悉孵化項目的開發者不僅可以獲得Mysten Labs的技術專業知識和支持.
Block Chain:11/30/2023 9:54:44 AM
加密貨幣交易所
