LayerZero CEO披露Across代币合约存在漏洞并给出解决方案

2024-10-22 00:38:54

金色财经报道,跨链互操作性协议 LayerZero 首席执行官 Bryan Pellegrino 在社交媒体致信 Across Protocol 团队表示,“我想通知你们,你们的代币合约存在一个关键问题。 你们错误地暴露了一个原本应作为内部私有函数的功能,该功能是 Open Zeppelin 在其 ERC20 代币实现中编写的,旨在销毁代币,并将其给予了合约所有者——这使得你们可以随时随意从任何钱包中提取代币,任意地将任何账户的余额搞成 0。 此外,你们的 Across Protocol 和 UMA Protocol 合约都有无限铸币的能力,但我已经通知你们这两个问题,而你们似乎并不在意。 要解决这个问题而不需要重新发行代币: 将合约所有权转移到一个新的智能合约,以防止铸币量超过总供应量,也不允许销毁。由于这是一个永久性漏洞,新合约必须是不可变的,并且不应包括任何转移所有权的功能。 如果你们有一个活跃的漏洞悬赏计划,可以将此信息归功于 LayerZero 团队。”
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
07:41
PeckShield:Banana Gun的代币合约似乎存在漏洞
金色财经报道,据PeckShield监测,Banana Gun的代币合约似乎存在漏洞。
10:55
派盾:aBNBc代币合约存在无限铸币漏洞
12月2日消息,派盾PeckShield发推表示,Ankr 被盗事件中,aBNBc代币合约存在无限铸币漏洞,黑客可利用此漏洞绕过调用者验证以获得任意铸造权限。
13:26
GALA代币因合约变更或存在“假充值”风险,漏洞已被黑客利用
9月13日消息, 据X-explore监测,由于合约变更,Gala Game代币GALA在CEX上存在“假充值”风险,黑客于9月6日利用该漏洞,已将Coinhub中价值2.7枚ETH的GALA全部取出。 X-explore表示,GALA于2023年5月15日进行重大升级,并更新代币合约地址。因此现在有两种代币在流通,都被称为GALA,GALA旧代币和正常的GALA价格比是1:12。攻击者自今年7月27日起一直使用GALA旧代币在各交易所充值,以测试假充值。 与此同时,黑客还参与LDO“假充值”事件以及去年8月的Nomad Bridge攻击事件。9月6日,黑客充值GALA旧代币至CoinHub,成功让交易所将充值的旧GALA视为真正的Gala代币。随后黑客用户提取真实的Gala,现在交易所热钱包中只剩下价值168美元的Gala,黑客赚取2.7枚ETH。 此前消息,据慢雾安全团队链上情报,LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为。 对此,Lido Finance表示,尽管黑客据称利用了LDO代币合约中已知的安全漏洞,但LDO和stETH代币仍然是安全的。Lido没有证实任何漏洞,但承认安全漏洞是已知的。
18:22
Magpie:发现合约存在漏洞,建议用户尽快取消授权
金色财经报道,跨链基础设施 Magpie Protocol 发文称合约存在漏洞,督促曾对授权过其合约且钱包内仍持有资金的用户尽快取消各条链上的相关合约授权。
11:17
DefiLlama创始人:Foundation存在合约漏洞
6月21日消息,DefiLlama创始人0xngmi发推表示,NFT市场Foundation的NFT合约有一个漏洞,可以让基金会团队销毁几乎所有在其平台上铸造的NFT。Foundation的集合合约使用转发代理模式来节省部署的Gas,这意味着所有集合调用一个单一的合约来使用它的代码不是问题,并且基金会的集合有一个功能,允许创建者在没有NFT的情况下销毁它,目前基金会团队的合约所有权由6个中的2个多重签名持有。
10:46
LayerZero被爆存在跨链消息传递漏洞,现已修复
金色财经报道,跨链通信协议LayerZero被爆存在一个关键漏洞,该漏洞由Blockian发现,用户应用程序可以操纵Oracle和Relayer费用,使它们能够在不产生任何成本的情况下发送消息,该漏洞主要围绕默认LayerZero节点 UltraLightNodeV2.sol的发送函数中的费用计算过程。UA可以将其Oracle和Relaye 配置为返回零费用的定制恶意版本,继而完全绕过费用计算过程。据悉,UA启动消息发送过程之后,可以将其Oracle和Relayer配置设置为自定义的免费版本,因此消息的费用计算为零,这种操纵的结果是用户代理能够在不产生任何费用的情况下发送消息。据悉Layer Zero团队目前已经通过让中继器在阻止消息之前检查交易中哪个UA调用了setConfig,快速修复了该错误。
Copyright © 2018-2022 211COIN版权所有.