[安全公司:Punk Protocol被攻击根本原因在于其CompoundModel的Initialize函数未做重复初始化检查等]据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。
相关快讯:
加密安全公司CipherTrace计划与各地央行展开合作:金色财经报道,美国加密安全分析公司CipherTrace希望将其业务扩展到世界各地的中央银行。目前,CipherTrace正在启动一项新计划,旨在帮助中央银行以安全、隐私和合规的方式发行自己的数字货币。据悉,CipherTrace获得了美国国防高级研究计划局(DARPA)的资助,已与世界各地的银行和政府进行合作。[2020/5/13]
安全公司:Vollgar僵尸网络持续劫持微软SQL服务器以挖掘门罗币和Vollar:国际黑客和网络安全公司Guardicore发布报告称,Vollgar僵尸网络病自2018年以来持续劫持微软SQL服务器以挖掘门罗币和Vollar。目前,全球每天仍有约3000台新机器感染Vollgar病。根据Guardicore的报告,受病感染最严重的国家是中国、印度、美国、韩国和土耳其,绝大多数的受感染机器位于中国。(Decrypt)[2020/4/2]
动态 | 安全公司:双平台挖矿木马MServicesX借用白签名躲避杀软件:近日,一款拥有Windows和安卓双版本的挖矿木马MServicesX悄然流行,中电脑和手机会运行门罗币挖矿程序,造成异常发热乃至设备受损的现象。挖矿木马MServicesX十分擅长伪装,在电脑端使用具有合法数字签名的文件,以躲避安全软件的查杀;在安卓手机端更伪装成Youtube视频播放器软件,不知情的用户用其在手机上观看视频时,病会在后台运行门罗币挖矿程序。数据显示,在国内,广东、江苏、香港三地的受感染量最大。[2018/11/8]
郑重声明: 安全公司:Punk Protocol被攻击根本原因在于其CompoundModel的Initialize函数未做重复初始化检查等版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。