BTC/HKD+3.66%
ETH/HKD+4.65%
LTC/HKD+2.89%
DOT/HKD+2.17%
ADA/HKD+3.91%
SOL/HKD+4.79%
XRP/HKD+4.9%
DOGE/US+3.92%金色財經報道,慢霧推出HKSFC合規安全審計服務,目前慢霧安全團隊已經為多家香港申請牌照的加密貨幣交易平臺提供服務,包括:已完成申牌的HashKey Pro,正在申牌的HKBGE以及擬申牌的MEEX等平臺。
慢霧安全團隊根據HKSFC最新的要求以及OWASP國際標準,結合慢霧的安全能力整理了面向HKSFC合規安全審計的Checklist。通過深入分析HKSFC的Circular to licensed corporations Review of internet trading cybersecurity和Guidelines for Virtual Asset Trading Platform Operators要求,并結合多年的區塊鏈安全從業經驗,制定了面向HKSFC的合規安全審計項,另外根據OWASP國際標準以及慢霧獨家的安全能力整理了Web,iOS,Android的安全審計項,在保證項目方符合HKSFC的要求后也能適配OWASP國際標準,包含以下內容:
HKSFC23大合規要求;
OWASPWeb13大合規要求;
OWASPAndroid7大合規要求;
OWASPiOS7大合規要求;
慢霧整理的170+安全審計項。
其它快訊:
慢霧余弦:Ordinals Wallet被SIM Swap劫持走賬號并發布釣魚鏈接:金色財經報道,慢霧創始人余弦在X平臺(原推特)表示,Ordinals Wallet被SIM Swap劫持走了賬號,發布了釣魚鏈接,釣魚組織是PinkDrainer。[2023/9/7 13:23:26]
慢霧:利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道,SlowMist發布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻擊,利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日,利用者發起了20提案,并在提案中說明20提案是對16提案的補充,具有相同的執行邏輯。但實際上,提案合約多了一個自毀邏輯,其創建者是通過create2創建的,具有自毀功能,所以在與提案合約自毀后,利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是,社區沒有看到擬議合約中的犯規行為,許多用戶投票支持該提案。
在5月18日,利用者通過創建具有多個交易的新地址,反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性,利用者在5月20日7:18(UTC)銷毀了提案執行合約,并在同一地址部署了一個惡意合約,其邏輯是修改用戶在治理中鎖定的代幣數量。
攻擊者修改完提案合約后,于5月20日7:25(UTC)執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的,因此,該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后,攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡,同時利用者控制了治理。[2023/5/21 15:17:00]
慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:
1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。
2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。
3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。
4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。
此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]
金色財經報道,據Dune數據信息,社交協議friend.tech協議費用達到12,050.8ETH。協議交易總量達265,116.9ETH,當前用戶總市值為53,953.72ETH.
Block Chain:10/7/2023 5:49:14 AM金色財經報道,據The Data Nerd監測,6小時前,Justin Sun又從Lido Finance提取了2.3萬ETH(3769萬美元),并將所有資金存入Binance.
Block Chain:10/7/2023 5:49:11 AM金色財經報道,據Beosin EagleEye監測顯示,Stars Arena遭受到黑客攻擊,損失約300萬美元。Beosin安全團隊分析發現,由于合約沒開源,疑似存在重入漏洞.
Block Chain:10/7/2023 5:49:09 AM金色財經報道,數據顯示,ETH 2.0總質押數已超3000萬,為30039064個,按當前市場價格,價值約491.52億美元。此外,目前ETH 2.0質押總地址數已超98.86萬,為988643個.
Block Chain:10/7/2023 5:49:06 AM金色財經報道,據The Data Nerd監測,7小時前,0x9fc開頭巨鯨以1643美元的價格從Binance提取了6000ETH(986萬美元).
Block Chain:10/7/2023 5:49:04 AM金色財經報道,本周,Galaxy Research發布了關于比特幣Ordinals系列的第二份報告。2023年3月的初步報告介紹了Ordinals作為比特幣數字收藏品的新途徑的出現。最新的報告深入探討了自那時以來該領...
Block Chain:10/7/2023 5:49:00 AM金色財經報道,Galxe在社交媒體上稱,對于那些在訪問Galxe.com時仍然看到釣魚網絡站點的人來說,這是由于DNS傳播,這需要時間來更新用戶本地服務器上的DNS記錄,并且在全球范圍內各不相同.
Block Chain:10/7/2023 5:48:49 AM10月7日消息,Stars Arena在X平臺發文表示,網站正在遭受DDOS攻擊,解決方案正在制定以確保每位用戶的資金都能夠收回,從而繼續發展Stars Arena.
Block Chain:10/7/2023 5:48:45 AM10月7日消息,據Lookonchain監測,在孫宇晨將ETH存入幣安并重新質押到Lido幾小時后,另一個與HTX相關的地址從幣安提取了42999枚ETH將其重新質押到Lido上.
Block Chain:10/7/2023 5:48:42 AM金色財經報道,L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為107.62億美元,近7日漲0.05%.
Block Chain:10/7/2023 5:48:39 AM金色財經報道,Avalanche創始人Emin Gun Sirer在X平臺發文表示,Stars Arena損失金額不大,且正在查找Stars Arena黑客身份,相信能夠足額補償用戶.
Block Chain:10/7/2023 5:48:38 AM10月7日消息,Aave集成負責人Marc Zeller在X平臺發文表示,Aave DAO已購入39萬枚GHO,旨在支持錨定計劃。Marc Zeller表示,還將開始更多錨定計劃,包括修改利率、回購以及成立GHO流動...
Block Chain:10/7/2023 5:48:35 AM
比特幣行情
