[慢雾完成对Taproot Chain跨链桥模块智能合约的代码审计]3月29日消息,比特币Layer 2项目Taprootchain宣布,安全公司慢雾已完成对Taproot Chain跨链桥模块智能合约的代码审计。审计报告显示,在修复了一个风险漏洞并采纳了6个改进建议后,慢雾给出的审计意见为低风险。
此前,Taprootchain曾公告,主网已于3月28日上线,首期白名单空投活动已经圆满结束。跨链功能即将开启,白名单用户可以在开放后在官网领取白名单资格。
其它快讯:
慢雾:PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出,在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。
此前报道,PAID Network今天0点左右遭到攻击,增发将近6000万枚PAID代币,按照当时的价格约为1.6亿美元,黑客从中获利2000ETH。[2021/3/6 9:28:40]
慢雾:攻击者系通过“supply()”函数重入Lendf.Me合约 实现重入攻击:慢雾安全团队发文跟进“DeFi平台Lendf.Me被黑”一事的具体原因及防御建议。文章分析称,通过将交易放在bloxy.info上查看完整交易流程,可发现攻击者对Lendf.Me进行了两次“supply()”函数的调用,但是这两次调用都是独立的,并不是在前一笔“supply()”函数中再次调用“supply()”函数。紧接着,在第二次“supply()”函数的调用过程中,攻击者在他自己的合约中对Lendf.Me的“withdraw()”函数发起调用,最终提现。慢雾安全团队表示,不难分析出,攻击者的“withdraw()”调用是发生在transferFrom函数中,也就是在Lendf.Me通过transferFrom调用用户的“tokensToSend()”钩子函数的时候调用的。很明显,攻击者通过“supply()”函数重入了Lendf.Me合约,造成了重入攻击。[2020/4/19]
公告 | 慢雾区发布EOS假账号安全风险预警:慢雾区发布EOS假账号安全风险预警称:如果EOS钱包开发者没对节点确认进行严格判断,比如应该至少判断15个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1.用户使用某款EOS钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功;
2.用户立即拿这个账号去某交易所做提现操作;
3.如果这个过程任意环节作恶,都可能再抢注aaaabbbbcccc这个账号,导致用户提现到一个已经不是自己账号的账号里。
防御建议:轮询节点,返回不可逆区块信息再提示成功。[2018/7/16]
郑重声明: 慢雾完成对Taproot Chain跨链桥模块智能合约的代码审计版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。