比特币
Ctrl+D收藏简单区块链

安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查

作者:

区块链

时间:8/12/2021 3:03:52 PM

据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:

1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。

2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。

3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。

4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。

总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。

安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查本文于9/14/2022 3:03:50 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。

相关快讯:

安全公司:警惕针对银行APP和加密钱包的的新型安卓恶意软件EventBot:总部位于美国的网络安全公司Cybereason发现了一种针对银行应用程序和加密货币钱包的新型安卓恶意软件。据Techcrunch报道,这款名为EventBot的恶意软件看似一个合法的安卓应用程序,但其实滥用了安卓内置的可访问性功能,以获取对设备操作系统的深度访问权限。

一旦被不知情的用户安装,或被访问受害者手机的恶意人士安装,受感染的应用程序将会窃取200多个银行和加密货币应用程序的密码,包括贝宝(PayPal)、Coinbase、CapitalOne和汇丰(HSBC)等,并截获双因素身份验证文本信息代码。有了受害者的密码和双因素代码,黑客可以侵入银行账户、应用程序和钱包,窃取受害者的资金。(The Paypers)[4/30/2020 12:00:00 AM]

动态 | 安全公司:Atlassian Jira存在未授权服务端模板注入远程代码执行:据慢雾安全情报得知,Atlassian Jira Server 和 Jira Data Center 存在服务端模板注入远程代码执行漏洞。成功利用此漏洞的攻击者可对运行受影响版本的 Jira Server 或 Jira Data Center 的服务器执行任意命令,从而获取服务器权限,严重危害网络资产。 慢雾安全团队注意到数字货币相关项目方等都流行使用 Jira 进行项目管理。特此提醒注意及时升级。(IMEOS)[7/13/2019 12:00:00 AM]

动态 | 数据安全公司宣布正式进入Ripple XRP Ledger生态系统唯一节点列表:据消息报道,数据安全和隐私公司Data443昨日宣布,它们已正式添加到Ripple(XRP) Ledger生态系统的唯一节点列表(UNL)中。UNL是10个组织的列表,这些组织被给予验证节点以获得有关XRP Ledger中的可靠信息。[9/7/2018 12:00:00 AM]

相关资讯
黑客返还28953枚ETH至Poly Network提供的多签地址

据欧科云链OKLink数据监测,攻击Poly Network的黑客在区块高度13011221将28953枚ETH返还至Poly Network早先发布的以太坊多签收款地址。 交易哈希:0xf91e43dce...

区块链:8/13/2021 3:05:09 PM
Nexon财报:由于公司所持比特币价值下滑了约4070万美元,上季度净利润略低于预期

金色财经报道,韩国网游大厂Nexon今天公布了第二季度财报,根据财报显示,在统计截止至6月30日的第二季度,Nexon的营收达到560亿日元(约合5.07亿美元),净利润8110万美元,同比分别下降了13%和55%。...

区块链:8/13/2021 3:05:02 PM
Poly Network:将在黑客全额还款后为其提供50万美元的赏金

8月12日晚,Poly Network通过以太坊网络转账留言回复黑客称:“我们感谢您分享您的经验,并相信您的行为构成白帽行为。但我们不能接触用户资产,而Poly Network也没有自己的代币。由于我们相信您的行为是...

区块链:8/13/2021 3:04:38 PM
Bitwave在种子轮融资中筹集了725万美元

金色财经报道,加密货币税收和会计软件供应商Bitwave在区块链资本牵头的种子轮融资中筹集了725万美元。其中Nascent、Nima Capital 和 Arca进行参投。Bitwave的首席执行官兼联合创始人Pa...

区块链:8/13/2021 3:04:26 PM
Chainlink已被集成到以太坊扩展解决方案Arbitrum One中

金色财经报道,Chainlink预言机已被集成到以太坊扩展解决方案 Arbitrum One 中,Arbitrum 表示,它正在解决智能合约开发商的一个共同要求,他们需要来自金融市场的高质量数据来支持去中心化交易所、...

区块链:8/13/2021 3:04:08 PM
神鱼:Poly Network攻击事件被盗资金已被全部退回

金色财经报道,鱼池创始人神鱼在微博中表示,前天19:30起,到今52个小时,在多方的共同努力与沟通下,推动Poly Network安全事件的进展。目前,白帽黑客目前已退还全部-5.8亿美金,其中3343万usdt被T...

区块链:8/13/2021 3:04:00 PM
研究:全球前100家银行中有55家拥有加密和区块链风险敞口

8月12日消息,根据区块链市场情报机构Blockdata的研究,按资产管理规模(AUM)排名前100位的银行中,有55家银行是主要加密和区块链技术公司和项目的投资者。 这种参与包括银行本身或通过其子公司对加...

区块链:8/12/2021 3:03:49 PM
人道主义组织CARE将在拉丁美洲项目中使用Celo区块链

人道主义组织CARE宣布与去中心化金融平台Celo(CELO)达成合作,以开发其在拉丁美洲第一个利用区块链技术的项目。CARE称其的目标是利用Celo区块链实现更快、更便宜、更加可追踪的救助交付方式。CARE指出,在...

区块链:8/12/2021 3:03:46 PM
Poly Network:首要目标是完全恢复用户资产

8月12日晚间,Poly Network发推称,“不可否认,我们正在经历一段艰难的时期,但我们还是要提醒所有Poly Network的用户和项目,我们现在的首要目标是完全恢复用户资产。团队一直在为实现这一目标而努力。...

区块链:8/12/2021 3:03:42 PM
Crust主网进入节点接入阶段

8月12日,Crust主网进入公开接入阶段,现已开放节点加入,同时可进行转账操作。Crust节点搭建手册及CRU主网映射教程可参见Crust Wiki。预计于9月初,Crust主网将正式运行并开放更多功能。 ...

区块链:8/12/2021 3:03:35 PM
波卡生态概念板块今日平均跌幅为4.91%

金色财经行情显示,波卡生态概念板块今日平均跌幅为4.91%。26个币种中4个上涨,22个下跌,其中领涨币种为:MXC(+8.38%)、EWT(+1.55%)、MATH(+0.96%)。领跌币种为:XOR(-26.49...

区块链:8/12/2021 3:03:32 PM
荣耀Magic3为骁龙平台首款支持数字人民币硬钱包的智能手机

荣耀Magic3为骁龙平台首款支持数字人民币硬钱包的智能手机。(金十) 荣耀Magic3为骁龙平台首款支持数字人民币硬钱包的智能手机本文于9/14/2022 3:03:17 PM被区块链网收录,文章来源于网络...

区块链:8/12/2021 3:03:20 PM