[慢雾:LDO的Token合约存在潜在的“假充值”风险]金色财经报道,据慢雾安全团队链上情报,LDO的token合约在处理转账操作时,如果转账数量超过用户实际持有的数量,该操作并不会触发交易的回滚。相反,它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的ERC20标准token合约不同。
由于上述特性,存在一种潜在的“假充值”风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。
慢雾建议如下:
1. 在处理token到账的逻辑时,不仅仅依赖于交易的成功或失败,还需要根据token合约的实际返回值进行判断。
2. 请注意,市场上存在许多非ERC20标准的token合约。在接入新的token之前,务必对其合约代码进行深入的理解和分析,确保实现正确的入账逻辑。
3. 建议定期进行代码审计和安全检查,确保系统的健壮性和安全性。
Token合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性,强烈建议在接入任何新的token之前,深入理解其合约逻辑并进行充分的测试。
其它快讯:
慢雾:去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息,2022年3月29日,Acutus的ACOWriter合约遭受攻击,其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控,攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 0:37:38]
慢雾:Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息,2月14日,BSC链上的Titano Finance项目遭受攻击,损失约190万美元,最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563,目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数,导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 0:08:37]
动态 | 慢雾:Electrum“更新钓鱼”盗币攻击补充预警:Electrum 是全球知名的比特币轻钱包,支持多签,历史悠久,具有非常广泛的用户群体,许多用户喜欢用 Electrum 做比特币甚至 USDT(Omni) 的冷钱包或多签钱包。基于这种使用场景,Electrum 在用户电脑上使用频率会比较低。Electrum 当前最新版本是 3.3.8,而已知的 3.3.4 之前的版本都存在“消息缺陷”,这个缺陷允许攻击者通过恶意的 ElectrumX 服务器发送“更新提示”。这个“更新提示”对于用户来说非常具有迷惑性,如果按提示下载所谓的新版本 Electrum,就可能中招。据用户反馈,因为这种攻击,被盗的比特币在四位数以上。本次捕获的盗币攻击不是盗取私钥(一般来说 Electrum 的私钥都是双因素加密存储的),而是在用户发起转账时,替换了转账目标地址。在此我们提醒用户,转账时,需要特别注意目标地址是否被替换,这是近期非常流行的盗币方式。并建议用户使用 Ledger 等硬件钱包,如果搭配 Electrum,虽然私钥不会有什么安全问题,但同样需要警惕目标地址被替换的情况。[2020/1/19]
郑重声明: 慢雾:LDO的Token合约存在潜在的“假充值”风险版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。