OpenZeppelin:由于标准ERC-2771的集成有问题而产生一个严重漏洞

2023-12-08 08:29:12

金色财经报道,OpenZeppelin在社交媒体上发文称,我们公开披露一个严重漏洞,该漏洞是由于标准ERC-2771和自委托调用与用户输入数据(包括但不限于多重调用)的集成有问题而产生的。对于结合这些模式的项目来说,此问题带来了地址欺骗攻击的重大风险。此问题是由有问题的集成模式引起的,并不是OpenZeppelin Contracts库中包含的实现所特有的。尽管如此,我们的团队一直在努力与白帽社区合作,识别并通知潜在的易受攻击的项目。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
15:31
加密货币交易机器人None Trading由于“严重漏洞”危害其系统而停止运营
金色财经报道,据BeInCrypto监测,None Trading是Discord上著名的加密货币交易机器人,由于“严重漏洞”危害其系统而停止运营。
03:15
Lens Protocol由于事务问题而暂停服务
金色财经报道,Lens Protocol在Polygon gas限制和第三方中继导致该服务的交易出现问题后暂停服务。 随着问题的持续,该服务的Discord频道的用户报告称,他们无法从协议中获取社交媒体的处理方式。协议在Twitter上的一份声明中表示,一旦采矿问题得到解决,Lens将发布更新。目前还不清楚需要多长时间才能修复。 据报道,自2022年2月发布以来,超过50个应用程序使用了Lens Protocol,这是Aave开发人员创建的一个平台,允许应用程序插入用户拥有的社交数据,通过NFT实现认证和货币化。(the block)
02:09
BlockSec:Hope.money由于精度丢失问题而受到攻击
金色财经报道,BlockSec在社交媒体表示,以太坊上的Hope.money由于精度丢失(precision loss)问题而受到攻击,最近发生了多起此类袭击事件,建议开发商对这些事件进行排查,并及时进行自查。 BlockSec表示,攻击者首先在HopeLend建仓,通过闪贷借入2,000 WBTC,池合约中的闪电贷功能将闪电贷费用添加到储备金的流动性指数中。攻击者操纵了hEthWBTC合约的流动性指数(从1e27到7,560,000,001e27),导致最终的精度损失。然后,攻击者从其他市场借入了大量资产。最后,由于精度损失,攻击者可以赎回所有WBTC抵押品。
01:11
HAY发行商Helio:Ankr将承担攻击者利用其漏洞而产生的坏账
12月3日消息,BSC 生态 Stablecoin 项目 Helio Protocol 在社交平台发文表示,Ankr 将买入从 aBNBc 中铸造的多余 HAY 进行燃烧,Ankr 将承担攻击者利用 Helio Protocol 漏洞而产生的坏账。Helio Protocol 将改换新发行的 ankrBNB Token 作为抵押品。
03:42
Ancilia:ERC2771漏洞在Base等多个网络被利用
金色财经报道,Web3安全平台Ancilia在X平台发文称,ERC2771漏洞正在多个网络上被攻击者利用,包括Base 、BSC、Ankr等。
15:14
安全团队:DFX Finance存在严重漏洞遭攻击攻击者获利逾23万美元
11月11日消息,据慢雾安全团队情报,2022 年 11 月 11 日,ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下: 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数,在该函数中会将第二步中借来的资金转移回 Curve 合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中,使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
Copyright © 2018-2022 211COIN版权所有.