GoPlus与慢雾提出合约可限时授权EIP提案以降低遗留授权导致的被盗风险

2022-10-06 20:35:41

10月6日消息,安全机构GoPlus与慢雾提出可限时授权的EIP标准,以降低遗留授权导致的被盗风险。标准中提到,包括TransitSwap事件在内,反复发生的资产盗窃是由于用户对合约的过度授权造成的,如果合约出错,所有没有召回授权的用户都会受到攻击。 GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv,以在默认时间段内自动撤回授权,或者使用自定义的时间限制来召回授权并及时避免风险,并提交了一份新的EIP,目前正在由以太坊研究部门审查。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
21:20
慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险, 请迅速取消授权
金色财经报道,据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前,Rabby Swap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。
23:53
慢雾:Rubic协议错将USDC添至Router白名单导致已授权合约用户USDC遭窃取
12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。 2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。 3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。 4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。 此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。
16:37
OpenSea旧合约发现漏洞未取消Wyvern协议授权的用户存在NFT被盗风险
10月28日消息,浏览器安全插件 Pocket Universe 发推称,Opensea 旧合约上发现一个新漏洞,可用于窃取用户的 NFT,一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT(也即 Seaport 升级之前),主要涉及 Wyvern 协议,它授予了代理合约撤回用户 NFT 的权利,而这个新的漏洞利用会诱使用户签署交易,让攻击者拥有用户的代理合约的所有权。
22:13
Lido社区提出批准授权成立金库管理委员会的提案
4月4日消息,流动性质押协议 Lido 社区提出有关批准 Lido 金库管理原则和授权成立金库管理委员会的提案,以提出受原则约束的金库管理策略和执行。 提议的金库管理原则包括 ETH 是 Lido DAO 的主要账户单位、Lido DAO 的资金是协议弹性和未来增长的“源泉”,可以资助进一步实现协议去中心化和网络安全目标的计划;在任何情况下都应将金库资金的损失风险降至最低;所有金库 ETH 必须质押在 Lido;LDO 持有者拥有最终发言权。
17:02
Twitter用户爆料:NFT交易市场Rarible或存在授权合约风险
11月30日消息,据 Twitter 用户爆料,NFT 交易市场 Rarible 可能存在授权合约风险,在 2019 年底- 2020 年授权过 KyberNetwork1155Wrapper 合约的用户需尽快解除授权,以免发生风险事件。
17:13
慢雾:Wintermute 1.6亿美元资产被盗的可能原因
金色财经报道,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元的各种资产,慢雾安全团队分析后发现如下信息: Wintermute被盗智能合约:0x00000000ae347930bd1e7b0f35588b92280f9e75, Wintermute被盗EOA钱包:0x0000000fe6a514a32abdcdfcc076c85243de899b,攻击者地址:0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705,攻击者智能合约:0x0248f752802b2cfb4373cc0c3bc3964429385c26。 被盗原因可能是Wintermute被盗EOA钱包是使用Profanity来创建的靓号钱包(开头0x0000000),此前去中心化交易所聚合器 1inch 发布了一份安全披露报告,声称通过名为 Profanity 的工具创建的某些以太坊地址存在严重漏洞。
Copyright © 2018-2022 211COIN版权所有.