Pythia 遭受重入攻击
根据区块链安全公司 Quill Audits 的报告,9 月 3 日,去中心化金融协议 Pythia Finance 因重入攻击损失了 53,000 美元。Pythia 是一个算法稳定币项目,旨在利用人工智能来管理其资金。
攻击者反复调用领取奖励函数,并且不允许在每次调用后更新奖励余额,这使得他们能够收集到超出其应得奖励的奖励。
报告称,攻击者之所以能够反复快速地调用该函数,是因为 Pythia 在分配奖励时调用了代币安全转移函数。因此,恶意代币合约可以回调 Pythia,导致 Pythia 再次回调,从而引发连锁反应,耗尽协议资金。
Quill Audits 对 Pythia 的部分审计报告显示没有任何未解决的安全问题,这意味着该团队可能已经升级了合约,以防止进一步使用此漏洞。
重入攻击是智能合约漏洞最常见的类型之一,即攻击者反复调用某个函数而不允许其代码完全执行。
Zyxel 严重漏洞
9 月 4 日,网络硬件制造商 Zyxel 披露了其部分网络设备中存在的严重漏洞,该漏洞可能允许攻击者在用户路由器和接入点上执行代码,从而可能允许黑客访问用户设备。
据披露,该漏洞是由于多个不同固件版本的 CGI 程序中参数 host 中的特殊元素被不当中和所致。由于这种不当中和,这些固件版本可能允许未经身份验证的攻击者通过向易受攻击的设备发送精心设计的 cookie 来执行 OS 命令。
加密钱包用户应特别警惕针对其家庭网络的潜在攻击。如果攻击者获得对用户家庭网络的访问权限,他们可以使用此访问权限通过 DNS 欺骗重定向用户流量,查看通过网络发送的任何未加密数据,或使用深度数据包检查解密加密数据。所获得的数据可能用于社会工程攻击,以说服用户批准交易或共享其私钥。
Zyxel 提供了可能受影响的设备列表,其中包括 NWA50AX PRO、NWA90AX、WAC500 和其他接入点,以及 USG LITE 60AX 路由器。制造商建议这些设备的用户升级其固件。
Penpie 漏洞利用者创建了假的 Pendle Market
据区块链安全公司 Zokyo 9 月 4 日发布的报告,价值 2700 万美元的 Penpie 漏洞之所以能够存在,是因为存在一个漏洞,允许任何用户创建 Pendle 市场。该报告称,Zokyo 审计了该协议的早期版本,但当时并未包含该漏洞。
报告指出,Penpie 包含一个名为 registerPenpiePool 的函数,可用于注册新的池地址和 Pendle Market。为了防止恶意市场注册,它包含一个修饰符,用于检查 Pendle Market 是否已在 Pendle Finances 工厂合约中列出。如果它未在此工厂合约中列出,则无法注册。但是,任何用户都可以通过调用工厂合约中的 createNewMarket 函数将其市场列入工厂合约。根据报告,这本质上意味着任何用户都可以创建 Pendle Market 并注册它。
攻击者利用此漏洞创建了一个虚假的 Pendle 市场和矿池,并配置为提供有价值的 Pendle 代币作为奖励。
Pendle Finance createNewMarket 函数。来源:Zokyo。
该协议还包含一个可重入漏洞,允许任何市场重复存入代币,而其他余额则无法更新。攻击者一遍又一遍地调用存款函数,人为地夸大了可获得的奖励。然后,他们提取存款并领取奖励,导致协议损失超过 2700 万美元。
根据报告,Zokyo 审计的版本中存在可重入漏洞。但在该版本中,只有协议团队才能注册新的池和市场,这应该可以阻止外部攻击者利用它。报告指出:
batchHarvestMarketRewards(…) 方法中收到的 _market 参数预计不会是恶意的,因为在 Zokyo 审核的早期版本的代码中,只有所有者(多重签名)可以注册池。
在 9 月 3 日发布的另一份报告中,Penpie 团队声称,在 Zokyo 进行审计大约一年后,他们推出了无需许可的池注册。当时,他们聘请了安全公司 AstraSec 来审计新的注册系统。然而,只有新合约在这次审计范围内。由于该漏洞源自两个不同团队审计的两个不同合约之间的交互,因此他们都没有发现这个漏洞。Penpie 声称,未来将定期对整个协议进行审计,以确保此类事件不会再次发生。Penpie
是一种去中心化金融协议,旨在为 Pendle Finance 用户提供收益提升。针对它的漏洞发生在 9 月 3 日。
undefined