安全团队：ShadowFi未定义合理访问控制，遭攻击者利用

据官方消息，9月2日，HyperLab安全团队在BSC链上检测到ShadowFi Token贬值事件。攻击者将10,354,936.721195451 SDF token销毁，随后将 8.461538282 SDF换成约合$30万BNB资产。

团队分析称，从交易细节可得，攻击者在交易中调用burnTokens()函数烧掉了SDF，而ShadowFi合约没有实现权限验证函数onlyOwner，设置burnTokens为public，导致被攻击者利用，将代币全部销毁。项目方对于burn()这类函数, 没有定义合理的访问控制, 导致任意用户都能调用这个合约, 从而造成不必要的损失。

据悉，Hyperlab围绕数字钱包这一核心产品及其周边服务，针对热钱包安全、冷钱包安全、钱包服务器安全，以及钱包使用者安全等议题开展研究工作，为用户和企业提供安全解决方案和服务。

安全团队：ShadowFi未定义合理访问控制，遭攻击者利用本文于9/21/2022 11:09:14 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢安全团队：ShadowFi未定义合理访问控制，遭攻击者利用,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。

相关快讯：

安全团队：FEG项目在以太坊和BNB Chain上遭遇闪电贷攻击，损失130万美元:5月16日消息，据CertiK监测，FEG项目在以太坊和BNB Chain上遭遇闪电贷攻击，其代币价格下跌超80%，大约130万美元被转移。代币地址为：bsc:0xacfc95585d80ab62f67a14c566c1b7a49fe91167。

安全团队：FEG项目在以太坊和BNB Chain上遭遇闪电贷攻击，损失130万美元本文于9/19/2022 5:59:31 AM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢安全团队：FEG项目在以太坊和BNB Chain上遭遇闪电贷攻击，损失130万美元,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[5/16/2022 5:59:35 AM]

安全团队：Ronin攻击者近24小时将4100枚ETH转移至Tornado Cash:4月29日消息，据CertiK安全团队监测，Ronin Network攻击者于近24小时内已将另外4100枚ETH（价值约1190万美元）转移至Tornado Cash中。

攻击者钱包地址：0xDD6458eB5090832eB88BFfc7AdF39B0F3CdD6683。

安全团队：Ronin攻击者近24小时将4100枚ETH转移至Tornado Cash本文于9/18/2022 9:37:30 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢安全团队：Ronin攻击者近24小时将4100枚ETH转移至Tornado Cash,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[4/29/2022 9:37:32 PM]

分析 | 慢雾安全团队提醒｜EOS假账号安全风险预警:根据IMEOS报道，EOS 假账号安全风险预警，慢雾安全团队提醒：

如果 EOS 钱包开发者没对节点确认进行严格判断，比如应该至少判断 15 个确认节点才能告诉用户账号创建成功，那么就可能出现假账号攻击。

攻击示意如下：

1. 用户使用某款 EOS 钱包注册账号（比如 aaaabbbbcccc），钱包提示注册成功，但由于判断不严格，这个账号本质是还没注册成功

2. 用户立即拿这个账号去某交易所做提现操作

3. 如果这个过程任意环节作恶，都可能再抢注 aaaabbbbcccc 这个账号，导致用户提现到一个已经不是自己账号的账号里

防御建议：轮询节点，返回不可逆区块信息再提示成功，具体技术过程如下：

1. push_transaction 后会得到 trx_id

2. 请求接口 POST /v1/history/get_transaction

3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[7/16/2018 12:00:00 AM]

相关资讯