[慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险,请迅速取消授权]金色财经报道,据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。
截止目前,Rabby Swap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。
其它快讯:
慢雾创始人通过其推特向跨链DID .bit成功申领slowmist.bit:9月14日消息,慢雾创始人通过其推特向跨链 DID .bit 申领了保留账户 slowmist.bit。据悉,.bit 通过引用第三方数据源保留的账户,在规定时间内成功发起申领就可以按注册费获得该账户。
此前报道,8月15日,跨链DID .bit宣布完成1300万美元A轮融资,CMB International领投,HashKey Capita、QingSong Fund、GSR Ventures、GGV Capital、SNZ 与 SevenX 参投。[2022/9/14 13:29:33]
动态 | 慢雾情报:本次AWS 故障主要受影响区域是日本东京周边:据慢雾情报,针对刚刚突发的“AWS 故障影响数字货币交易所”事件,本次 AWS 故障主要位于区域是日本东京服务,具体可见AWS 全球服务状态链接,点击“Asia Pacific”(详见原文链接)。
如果是 AWS 云数据库产品(RDS)故障,数据库故障如果业务没处理好,确实有可能出现各种怪异 bug,包括价格异动。这方面的容灾机制需要注意。[2019/8/23]
动态 | 慢雾区发布0day漏洞预警 可盗取交易所账号:慢雾区0day漏洞预警:某第三方知名 JS 库存在 XSS 0day 漏洞,可绕过 Cloudflare 等防御机制。该漏洞如果被恶意利用会导致数字货币交易所等平台的用户帐号权限被盗、恶意操作等资产损失。经过慢雾安全团队确认该漏洞影响范围非常之广,漏洞利用过程简单,威力十足。[2018/9/18]
郑重声明: 慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险,请迅速取消授权版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。