ISE:慢雾分析：Opyn 合约攻击者可以任意重置已创建 vault 地址来通过检查_AllianceBlock Nexera

链闻消息，慢雾安全团队表示，在其中一笔Opyn合约的攻击中，攻击者仅使用272ETH最终得到467ETH。完整的攻击流程如下：攻击者使用合约先启动Opyn合约的reateERC20CollateralOption函数创建oToken。合攻击约调用运动函数，传入已创建库的地址。通过exercise函数中用于循环逻辑执行调用两次_exercise函数。exercise函数调用transferCollateral函数将USDC转给函数调用者。攻击合约调用removeUnderlying函数将预先定义的ETH转出。最终攻击者拿回了战斗补充的ETH以及额外的USDC。此次攻击主要是利用了_exercise函数中对vaultToExerciseFrom是否创建了vault的检查缺陷。此检查未纠正vaultToExerciseFrom是否是由参与者自己，而只是简单的检查是否创建了vault，导致攻击者可以任意重置已创建vault的地址来通过检查。

动态 | 慢雾： 警惕利用EOS及EOS上Token的提币功能恶意挖矿:近期由于EIDOS空投导致EOS主网CPU资源十分紧张，有攻击者开始利用交易所/DApp提币功能恶意挖矿，请交易所/DApp在处理EOS及EOS上Token的提币时，注意检查用户提币地址是否是合约账号，建议暂时先禁止提币到合约账号，避免被攻击导致平台提币钱包的CPU资源被恶意消耗。同时，需要注意部分交易所的EOS充值钱包地址也是合约账号，需要设置白名单避免影响正常用户的提币操作。[2019/11/6]

现场 | 慢雾科技郭阳：面对DApp安全问题开发人员需提升开发能力:金色财经现场报道，今日，2018可信区块链峰会在北京召开。在主题为“区块链安全焦点关注”的区块链安全论坛上，厦门慢雾科技有限公司慢雾安全负责人郭阳指出了以太坊溢出、权限控制、条件竞争、假充值和EOS恶意占用 RAM、假币等DApp 安全问题，他表示，开发人员要提升自己的开发能力以及专业技能，同时在合约开发完成后找职业的安全团队审计，也可以参考业界的经验分析总结。[2018/10/10]

声音 | 慢雾安全团队：区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道，慢雾安全团队表示，区块链技术本身存在安全缺陷，研究区块链安全的可以参考以太坊漏洞赏金计划实现安全，包括：1. 客户端协议实现安全；2. 网络安全；3. 节点安全；4. 客户端应用安全；5. 算法使用安全；6. Solidity 语言安全；7. ENS 安全。[2018/7/2]

标签：STEEXEISECISstellar币银行动力AllianceBlock NexeraVeritiseCIS币

SHIB热门资讯