喜羊羊与灰太狼NFT存在Metadata泄露漏洞项目需警惕

2022-11-26 02:46:28

11月26日消息,据Supremacy安全团队旗下的Sheepdog漏洞监测系统报告, 奥飞娱乐旗下的喜羊羊与灰太狼NFT合约项目存在Supremacy先前所披露的CVE-2022-38217通用型安全漏洞。此漏洞可导致该项目的所有NFT的元数据(metadata)遭到提前泄露,黑客可预先筛选有价值的NFT,之后通过监测Mempool的方式定向mint指定的NFT ,最后在二级市场抛售获利。此前,Supremacy已尝试通过Discord联系官方,截止发文官方并无任何回应。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
08:42
《羊了个羊》:从未开发或授权开发任何区块链游戏
9月28日消息,昨日晚间北京简游科技有限公司发布声明:“我司是《羊了个羊》游戏唯一正版运营商。近日,我司收到举报,有人冒充我司员工,在bnb chain上发布《羊了个羊》区块链游戏。我司从未开发或授权开发任何区块链游戏。我司已收集相关证据,保留向公安机关报案、通过法院诉讼追责等手段依法维权的权利。”(鞭牛士)
18:34
安全团队:NFT项目CryptoNinja World合约存在漏洞
金色财经报道,区块链安全团队成员Max在社交媒体上表示,NFT项目CryptoNinja World的合约(合约地址:0xd93704f2a0eA3Db109dE194D4a51ff3e5e77CEfd)存在漏洞,目前任何人都可以销毁该项目的NFT。请用户提高警惕。
19:54
PeckShield:市场出现多个BingChatGPT代币需警惕骗局
金色财经报道,PeckShield监测数据显示,已经有数十个新创建的BingChatGPT代币,其中3个代币似乎是蜜罐骗局,并且有2个代币已经下跌超过99%。部署者0xb583已经使用拉高出货方案创建多个代币。
15:14
安全团队:DFX Finance存在严重漏洞遭攻击攻击者获利逾23万美元
11月11日消息,据慢雾安全团队情报,2022 年 11 月 11 日,ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下: 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数,在该函数中会将第二步中借来的资金转移回 Curve 合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中,使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
10:05
Cathie Wood:加密货币如果成为美国政策错误的替罪羊加密货币将转移到海外
3月16日消息,Ark Invest创始人“木头姐”Cathie Wood在社交媒体发文称,美国联邦存款保险公司和其他机构将阻止美国参与互联网革命最重要的阶段,监管机构正在把加密货币作为他们自己在传统银行业监管失误的替罪羊。 在去中心化、透明、可审计和超额抵押的加密资产生态系统中,类似传统银行的崩溃是不可能发生的。事实上,上周加密资产表现得像避风港,其价格与黄金一起上涨。加密是解决传统金融系统中心化故障点、不透明性和监管错误的解决方案。如果成为美国政策错误的替罪羊,加密货币将转移到海外,使美国错过历史上最重要的一个创新阶段。
13:20
DigiDaigaku超级碗活动期间出现钓鱼链接用户需警惕资产被盗
2月13日消息,推特用户Tedtheeast表示,DigiDaigaku上了超级碗,吸引了一批流量到NFT圈,同时也导致很多人被钓鱼链接盗NFT。如果被盗可以采取下列措施: 1. 首先确保是因为签名(signature)而不是授权(approval)导致的被盗,区别在于是否支付Gas费。可以在区块链浏览器检查。也可以在http://revoke.cash上取消任何看起来可疑的授权,同时http://revoke.cash也有针对浏览器的钱包插件,可以提示恶意网站。 2. 确保助记词没有泄露,如果是助记词泄露,那除了换钱包没有任何其他办法。 3. 因签名导致的NFT和ETH被盗,是一次性的。毕竟对于很多人来说,钱包不是随便说换就换的,通常除了NFT以外还有其他的DeF代币在stake或者还没unlock,还有其他链上的资产。 4. 对于已经被盗的资产,it is what it is,最重要的还是提高自身的安全意识,点任何链接/授权/签名之前,一定要仔细查看。 慢雾科技创始人余弦评论称,“听说DigiDaigaku超级碗活动这两天很火,好些人因为其中夹带的钓鱼信息给盗走了不少资产。一定要冷静,尤其是热闹的活动。简单分析了下,这波和之前怀疑‘朝鲜黑客’的那波没直接关系。但签名钓鱼手法上,各组织越来越卷,该有的手法都逐步会有,总有一款适合你……” 据此前报道,NFT项目DigiDaigaku母公司Limit Break称,将铸造限量Dragons NFT,并斥资650万美元在2月12日超级碗LVII上播放30秒的互动广告,届时将向限量观众发放免费的NFT。
Copyright © 2018-2022 211COIN版权所有.