灵踪安全:Sushi Miso被攻击的漏洞是一名Sushi雇佣的匿名开发者提交的
9月17日消息,Sushi的Miso项目遭到Supply Chain攻击,一名Sushi 的匿名前端开发承包商使用GH handle AristoK3将恶意代码注入Miso前端github仓库,攻击者在拍卖创建时插入自己的钱包地址以替换拍卖的钱包地址。 灵踪安全建议: 开发者应检查自己的前端应用是否有漏洞,并对前端代码进行安全审计。
9月17日消息,Sushi的Miso项目遭到Supply Chain攻击,一名Sushi 的匿名前端开发承包商使用GH handle AristoK3将恶意代码注入Miso前端github仓库,攻击者在拍卖创建时插入自己的钱包地址以替换拍卖的钱包地址。 灵踪安全建议: 开发者应检查自己的前端应用是否有漏洞,并对前端代码进行安全审计。
9月15日, 以太坊上的AMM去中心化交易所项目Nimbus 和 Nowswap 先后遭遇闪电贷攻击。根据灵踪安全漏洞分析系统显示:被攻击的原因是两者的交易函数中存在k值验证逻辑不完善的漏洞,交易时对用户收取了两笔费用:一笔是跟Uniswap 相同的交易手续费,为万分之15,另一笔是refFee。 第一笔费用的计算没有问题,但第二笔费用在对k值进行验证时没有考虑,使得攻击者偿还闪电贷的金额小于借出金额时也能通过k值验证,完成闪电贷交易,进而顺利实施攻击。
9月14日晚,以太坊 Layer2 项目Arbitrum出现网络故障,其交易排序器因为内存泄漏而停止运行。根据灵踪安全漏洞检测系统提示:内存泄漏的位置在源码SequencerBatcher.SendTransaction() 函数中。 此处漏洞是因为channel 阻塞导致大量goroutine 没有及时释放,引发内存泄漏。建议在处理并发时,考虑channel的阻塞情况。当存在高并发条件时,为channel写入数据时,加上select default 处理。
据官方消息,灵踪安全近期审计了拟在HECO上发布的AMMC项目合约,所审计的合约包含代币发行、代币的通胀通缩等功能。详细细节请参看灵踪安全官网发布的审计报告。
据官方消息,灵踪安全近期审计了跨链一站式DeFi平台Newland。被审计合约的主要功能为聚合收益,包括双通证挖矿等。详细细节请参看灵踪安全官网发布的审计报告。
7月19日,据BXH官方消息,V2版本已正式通过灵踪安全审计,审计结果显示:BXH V2的风险数量为:致命风险:0,高危风险:0,中度风险:0,低风险:0。 BXH V2已经完成战略转型,成为聚合收益为主的一站式Defi生态平台,将于近期登陆BSC链。
据官方消息,灵踪安全近期审计了去中心化交易所项目UbtSwap。被审计合约的主要功能包括项目方通证的发行、燃烧挖矿、对用户分级收取转账手续费、保护币价的"征税"机制等功能。详细细节请参看灵踪安全官网发布的审计报告。
据官方消息,灵踪安全近期审计了基于Polkadot的平行链项目SubGame Network。所审计代码的功能包括该平行链的游戏结算模块与游戏大厅上线、多元可插拔式开发模块、多元支付模型引擎、 建立双向且多链跨链服务。详细细节请参看灵踪安全官网发布的审计报告。
据灵踪安全官方消息,灵踪安全的深度合作伙伴MDEX,为了生态稳健成长以及在成长的路上持续保障用户的资产安全、交易安全,MDEX于今日正式开启漏洞赏金计划,严重漏洞最高奖励60000USDT。灵踪安全将以安全顾问的身份全程参与该计划,为用户资产、交易安全保驾护航。
针对BallSwap项目方官网称灵踪安全是该项目的审计机构之一。经核实,这是"BallSwap"项目方单方面盗用灵踪安全的logo在其官网进行展示,用于背书。在此,灵踪安全郑重声明:"团队并没有对‘BallSwap’项目代码进行审计,请广大用户保持警惕。所有灵踪安全审计过的项目均可在官网查到。灵踪安全保留对‘BallSwap’项目追究法律责任的权利。"