慢雾:LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为

2023-09-10 16:49:10

金色财经报道,据慢雾安全团队链上情报,LDO的token合约在处理转账操作时,如果转账数量超过用户实际持有的数量,该操作并不会触发交易的回滚。相反,它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的ERC20标准token合约不同。 由于上述特性,存在一种潜在的“假充值”风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。 慢雾建议如下: 1. 在处理token到账的逻辑时,不仅仅依赖于交易的成功或失败,还需要根据token合约的实际返回值进行判断。 2. 请注意,市场上存在许多非ERC20标准的token合约。在接入新的token之前,务必对其合约代码进行深入的理解和分析,确保实现正确的入账逻辑。 3. 建议定期进行代码审计和安全检查,确保系统的健壮性和安全性。 Token合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性,强烈建议在接入任何新的token之前,深入理解其合约逻辑并进行充分的测试。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
14:45
慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击
金色财经 报道,慢雾安全提醒,近期有攻击者利用 WordPress 插件漏洞攻击正常的站点,然后在站点中注入恶意的 js 代码,发起水坑攻击,在用户访问站点时弹出恶意弹窗,骗取用户执行恶意的代码或进行 Web3 钱包签名,从而盗取用户的资产。 建议有使用WordPress插件的站点注意排查是否存在漏洞,及时更新插件,避免被攻击;用户在访问任何站点的时候,要仔细识别下载的程序以及 Web3 签名的内容,避免下载到恶意程序或因授权了恶意的签名导致资产被盗。
13:15
慢雾:有黑客组织利用Calendly的功能插入恶意链接发起钓鱼攻击
金色财经报道,近期,慢雾安全团队发现有黑客组织利用Calendly的功能,使用“添加自定义链接”在事件页面上插入恶意链接发起钓鱼攻击。Calendly 是一款非常受欢迎的免费日历应用程序,用于安排会议和日程,通常被组织用于预约活动或发送即将到来的活动的邀请。黑客组织通过Calendly发送恶意链接与大多数受害者的日常工作背景很好地融合在一起,因此这些恶意链接不容易引起怀疑,受害者容易无意中点击恶意链接,在不知觉中下载并执行恶意代码,从而遭受损失。 慢雾安全团队提醒大家在使用Calendly的时候,如果发现界面上有链接,请注意识别链接的来源和域名,避免遭受攻击。可以在点击链接之前将鼠标移到文本上方,此时在浏览器的左下方会展示文本对应的链接地址,在点击之前请仔细核对好链接地址,避免访问到钓鱼链接。
20:37
慢雾:利用者通过执行恶意提案控制了Tornado.Cash的治理
金色财经报道,SlowMist发布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻击,利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日,利用者发起了20提案,并在提案中说明20提案是对16提案的补充,具有相同的执行逻辑。但实际上,提案合约多了一个自毁逻辑,其创建者是通过create2创建的,具有自毁功能,所以在与提案合约自毁后,利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是,社区没有看到拟议合约中的犯规行为,许多用户投票支持该提案。 在5月18日,利用者通过创建具有多个交易的新地址,反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性,利用者在5月20日7:18(UTC)销毁了提案执行合约,并在同一地址部署了一个恶意合约,其逻辑是修改用户在治理中锁定的代币数量。 攻击者修改完提案合约后,于5月20日7:25(UTC)执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的,因此,该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后,攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽,同时利用者控制了治理。
13:26
GALA代币因合约变更或存在“假充值”风险,漏洞已被黑客利用
9月13日消息, 据X-explore监测,由于合约变更,Gala Game代币GALA在CEX上存在“假充值”风险,黑客于9月6日利用该漏洞,已将Coinhub中价值2.7枚ETH的GALA全部取出。 X-explore表示,GALA于2023年5月15日进行重大升级,并更新代币合约地址。因此现在有两种代币在流通,都被称为GALA,GALA旧代币和正常的GALA价格比是1:12。攻击者自今年7月27日起一直使用GALA旧代币在各交易所充值,以测试假充值。 与此同时,黑客还参与LDO“假充值”事件以及去年8月的Nomad Bridge攻击事件。9月6日,黑客充值GALA旧代币至CoinHub,成功让交易所将充值的旧GALA视为真正的Gala代币。随后黑客用户提取真实的Gala,现在交易所热钱包中只剩下价值168美元的Gala,黑客赚取2.7枚ETH。 此前消息,据慢雾安全团队链上情报,LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为。 对此,Lido Finance表示,尽管黑客据称利用了LDO代币合约中已知的安全漏洞,但LDO和stETH代币仍然是安全的。Lido没有证实任何漏洞,但承认安全漏洞是已知的。
15:50
慢雾:警惕与LW相关的潜在可疑活动
7月8日消息,慢雾监测发现与LW (疑似关联The World)相关的潜在可疑活动。用户需保持警惕。
09:13
慢雾余弦:Stake.com被盗或因私钥相关接口/服务被恶意利用
9月5日消息,慢雾创始人余弦在社交媒体上发文表示,Stake.com 不仅 ETH 热钱包被黑,BSC/Polygon 热钱包也一样,目前至少超过 4130 万美元被盗。被盗与私钥出问题有关,可能不一定是私钥被盗走,也可能是私钥有关的接口/服务被恶意利用。 此前报道,加密博彩平台 Stake.com 昨晚疑似遭遇黑客攻击。链上侦探 ZachXBT 表示,Stake.com 在以太坊上被盗 1570 万的同时,也在 BSC 和 Polygon 网络被盗价值 2560 万美元的加密资产。今日早间,加密博彩平台 Stake.com 发布公告称,平台所有服务已恢复,所有货币的存提款都在即时处理。
Copyright © 2018-2022 211COIN版权所有.