ForesightNews消息,据慢雾安全团队情报,2023年2月2日,Polygon链上的BonqDAO项目遭到攻击,攻击者获得了大量的WALBT和BEUR代币。慢雾安全团队以简讯的形式分享如下:1.BonqDAO平台采用的预言机来源是TellorFlex自喂价与Chainlink价格的比值,TellorFlex价格更新的一个主要限制是需要价格报告者先抵押10个TRB才可以进行价格提交更新。而在TellorFlex中可以通过updateStakeAmount函数根据抵押物的价格进行周期性的更新价格报告者所需抵押的TRB数量。2.由于TellorFlex预言机合约的TRB抵押数额一开始就被设置成10个,且之后没有通过updateStakeAmount函数进行更新,导致攻击者只需要抵押10个TRB后就能成为价格报告者并通过调用submitValue函数修改预言机中WALBT代币的价格3.攻击者对价格进行修改后调用了Bonq合约的createTrove函数为攻击合约创建了trove,该trove合约的功能主要是记录用户抵押物状态、负债状态、从市场上借款、清算等4.紧跟着攻击者在协议里进行抵押操作,接着调用borrow函数进行借款,由于WALBT代币的价格被修改而拉高,导致协议给攻击者铸造了大量BEUR代币5.在另一笔攻击交易中,攻击者利用上述方法修改了WALBT的价格,然后清算了市场上其他存在负债的用户以此获得大量的WALBT代币。6.根据慢雾MistTrack分析,1.13亿WALBT已在Polygon链burn并从ETH链提款ALBT,后部分ALBT通过0x兑换为ETH;部分BEUR已被攻击者通过Uniswap兑换为USDC后通过Multichain跨链到ETH链并兑换为DAI。此次攻击的根本原因在于攻击者利用预言机报价所需抵押物的成本远低于攻击获得利润从而通过恶意提交错误的价格操控市场并清算其他用户。截止目前,94.6万ALBT已被兑换为695ETH,55.8万BEUR已被兑换为53.4万DAI。黑客仍在持续兑换ALBT为ETH,暂未发现资金转移到交易所等平台,MistTrack将持续监控黑客异动并跟进拉黑。
法国护肤品牌娇韵诗在Magic Eden上推出第一个325 NFT系列:金色财经报道,法国护肤品牌Clarins Precious将推出第一个 325 NFT 系列和 AR 体验,用户可以拥有并在数字收藏中展示。据悉,该NFT系列由ALTAVA Group 和两位极具影响力的女性数字艺术家 Ada Sokó? 和 Ines Alpha 共同创作。
Clarins Precious NFT Collection 将于 3 月 7 日发售,并使用polygon和Magic Eden 市场。该系列共有 325 件艺术品,通过以沙漏为中心的动画图像讲述娇韵诗珍贵的故事。[2023/3/9 12:50:52]
Magic Rings多链NFT合成游戏将于5月14日上线HECO:据官方消息,跨链NFT游戏Magic Rings将于5月14日21点上线HECO火币生态链,和各大去中心化钱包。开启第一层盲盒附送100个RINGS销售,并同时开放NFT戒指合成升级功能。在第一层盲盒兑换48小时后5月16日21点将开RINGS销毁创世矿池,及NFT质押矿池,MEL+USDT LP矿池将在5月17日21.00点开启。
Magic Rings(魔戒)是一款多链NFT+跨链桥SWAP合成游戏,首款NFT百分百成功合成升级并有机率跳级到最高等级NFT游戏。NFT可以在平台交易拍卖,持有高等级NFT享有平台分红等权益。[2021/5/14 22:02:15]
独家 | ImageMagick存在0day漏洞:降维安全实验室(johnwick.io)观测到通用性图像处理软件ImageMagick被爆0day漏洞。
可以用于远程命令执行,甚至可以本地提权至root权限,且截至发稿前,官方尚未发布补丁。
此漏洞风险等级极高。
ImageMagick是一款被广泛使用的图像处理软件,有相当多网站使用它来进行图像处理。
同时它被Perl,C++,PHP,python,java,ruby等等语言支持,许多第三方图像处理的
模块或支持库均使用ImageMagick实现。此次出现漏洞原理为ImageMagick底层支持库
GhostScript存在沙箱绕过缺陷。
我们注意到,交易所的kyc验证流程,涉及到图像处理,非常容易受到此漏洞攻击利用。
降维安全实验室(johnwick.io)建议通过卸载ImageMagick底层支持库GhostScript
来缓解本漏洞。
卸载方法:sudo apt-get remove ghostscript[2018/8/22]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。