[安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查]据慢雾区消息,去中心化年金协议 Punk Protocol 在公平启动的过程中遭遇攻击,慢雾安全团队以简讯形式将攻击原理分享如下:
1.攻击者调用CompoundModel合约的Initialize函数进行重复初始化操作,将合约Forge角色设置为攻击者指定的地址。
2.随后攻击者为了最大程度的将合约中资金取出,其调用了invest函数将合约中的资金抵押至Compound中,以取得抵押凭证cToken。
3.最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取到对应的底层资产并最终将其转给Forge角色。
4.withdrawToForge函数被限制只有Forge角色可以调用,但Forge角色已被重复初始化为攻击者指定的地址,因此最终合约管理的资产都被转移至攻击者指定的地址。总结:本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换Forge角色,最终造成合约管理的资产被盗。
总结:本次攻击的根本原因在于其 CompoundModel 的 Initialize 函数未做重复初始化检查,导致攻击者直接调用此函数进行重复初始化替换 Forge 角色,最终造成合约管理的资产被盗。
动态 | 加密安全公司Fireblock新增针对5个交易所的集成:9月5日,加密安全公司Fireblock宣布增加了对 OKCoin、OKEx、Korbit、Bithub和HitBTC 5个交易所的集成,还扩展了对Huobi Global的API和Deribit的集成,用于确保数字资产的转移,使其覆盖的平台总数达到20个。(prnewswire)[2019/9/6]
动态 | 通用电气参与区块链网络安全公司Xage A轮融资:工业集团通用电气(GE)的风险投资部门近期参与了网络安全创业公司Xage的1200万美元A轮融资。据悉,Xage公司可以将区块链技术安全地连接工业物联网(IoT)设备。GE的投资总经理Abhishek Shukla表示,“Xage能够在能源、运输、电信和其他全球行业中采用区块链这些尖端技术。我们很高兴能够支持Xage的创新方法。”[2018/7/24]
区块链安全公司BitGo与数字货币公司合作推出现金贷款平台:区块链安全公司BitGo为数字货币公司Nexo提供服务,该公司筹措5000万美元,为用户提供即时贷款所需的流动资金,无需等待信用审查所带来的时间延迟。[2018/5/1]
郑重声明: 安全公司:Punk Protocol被黑因其CompoundModel的Initialize函数未做重复初始化检查版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。