专题研究N1656:2021年融资区块链项目研究651之Blocksec
专题研究N1656:2021年融资区块链项目研究651之BlockSec
按:今日(2021年7月30日)在研究2021年上半年区块链行业融资数据时,决定要将今年融资的项目作一个专题研究:1、融资了,说明得到资本界看好,可能是一个好的方向和项目;2、通过研究它们,可以了解外界或圈内人对这个行业的判断,是一种研究区块链发展趋势的捷径和正确的路;3、之前的区块链人物、项目系列研究也基本是追一些热点或按版块研究,已有1000期;基本也将常见的项目和区块链人物研究的差不多;正好可以告一段落(前期落下的一些已计划的还要继续,在1000期以内);4、基于推特是目前区块链信息最集中和更新快的平台,还依托于此来研究相应的融资项目。
巴比特讯,12月27日,区块链安全公司安节科技(BlockSec)宣布完成千万天使轮融资。本轮融资由分布式资本领投,A&T Capital、趣链科技、Impossible Finance、Incuba Alpha、NEAR生态基金 MetaWeb Ventures 共同参与。据悉,BlockSec推出首个支持多链的智能合约交易在线分析平台、闪电贷在线检测平台和反洗钱追踪平台,协助项目方提高安全水位,助力区块链监管治理。本轮融资将用于支持BlockSec团队构建、新产品研发等。
分布式资本的全球管理合伙人BoShen表示,“区块链行业,特别是DeFi领域,在过去的一段时间内实现了指数级的增长,但区块链安全问题一直是行业发展的瓶颈和隐患。正因如此以BlockSec为代表的区块链安全服务机构会是行业最不可或缺的环节之一,并将伴随行业一同壮大。我们相信兼具头部行业经验和学术背景的BlockSec团队将会成为行业健康发展的重要基石
BlockSec,
@BlockSecTeam,
Securing the DeFi ecosystem,
China,blocksecteam.com,2020年12月 加入,
120 正在关注,
2,997 关注者,
置顶推文:对 APE AirDrop 闪贷攻击的简要分析
https://blocksecteam.medium.com/the-short-analysis-of-the-flashloan-attack-to-the-ape-airdrop-490a7d6a1479,
@defiprime
, #WuBlockchain,上午12:01 · 2022年3月18日
1/4)我们对APE空投闪贷攻击的简短分析。详细的方法之一。
https://versatile.blocksecteam.com/tx/eth/0xeb8c3bebed11e2e4fcd30cbfc2fb3c55c4ca166003c7f7d319e78eaab9747098
攻击者借用 BYAC 代币,然后兑换获得 BYAC NFT。然后他使用 BYAC NFT 索取 AirDrop APE 代币。
@defiprime
@wilburforce_,2/4) 之后,攻击者使用 BYAC NFT 铸造 BYAC 以返还闪电贷。在此之后,攻击者获得了空投 APE 代币。3/4)攻击的根本原因是AirDrop没有考虑用户持有NFT的时间长度(只考虑用户当时是否持有NFT)。4/4) 我们认为合约使用现货价格来确定资产价值类似于价格操纵攻击。
下午11:16 · 2022年3月17日·
1/5)我们已经看到了猫鼠游戏正在加密世界中发生的案例。一种情况是令牌试图混淆其逻辑。
这个代币 Moonpro (Moonpro) https://bscscan.com/address/0xd4c6aa84199dfe7becd0697da5a223ca0586dba4有一个“有趣的”逻辑来混淆它的“转移”功能。
2/5) 首先,只有 Elon ()可以转移代币,
3/5) 然后 onlyElon ()将调用 Tesla ()函数,该函数进一步触发 (DOGE ()) 。在触发函数期间,它是对另一个合约的委托调用。
4/5)基本上,使用这种方式,它可以隐藏它的意图,使静态分析工具失效(当然,不知道这样的滴答声)。5/5) 我们使用我们的事务虚拟化工具来清楚地证明这种行为。
https://versatile.blocksecteam.com/tx/bsc/0xbcfb77445fa60166f008a010196171a672fd3297708424f614322ad9fd32fb9f
您可以看到它将调用委托给 0x96bd74e0ff08d5d5c34ea58c4ed568207d31a8cb(未开源和验证。)上午11:51 · 2022年3月16日
1/3) XDai 链上的龙舌兰遭到攻击。我们怀疑攻击是通过不受信任的外部调用进行的。攻击者调用 liquidateCall 函数来清算自己,即使他没有任何债务。
@defiprime
@Agave_lending
,
https://blockscout.com/xdai/mainnet/t,2/3)在清算过程中,合约调用了对攻击者合约的不受信任的外部调用。3/3)在这个外部调用中,攻击者将 2728 WETH 从闪贷存入铸币 2728 aWETH 并借入所有可借的东西。当外部调用结束时,liquidateCall 函数销毁 2728 aWETH 并将 2728 WETH 转移给清算人。
1/2) Deus Finance 被价格操纵攻击 ( https://arxiv.org/abs/2104.15068 ) 利用。合约通过对 DEI 和 USDC 的余额进行中继来确定 DEI 的价格。
https://ftmscan.com/tx/0xe374495036fac18aa5b1a497a17e70f256c4d3d416dd1408c026f3f5c70a3a9c,
@defiprime
@FTMAlerts,
2/2) 攻击者通过闪电贷改变价格后清算了许多用户,并获得了约 330 万美元的利润。
我们很高兴为社区做出贡献并打造更安全的加密生态系统。
我们将在下周分享细节。
如果一个视频告诉你它可以通过部署一个前端运行的机器人来帮助你赚钱,那可能是太好了,难以置信。想一想,如果他/她知道如何赚钱,为什么他/她会告诉你财富的秘密?
我们很高兴地宣布与
@sejoasset
🙌 ,一种论文驱动的风险投资,投资于加密货币、代币和区块链项目。
我们一起#buidl为#DeFi项目提供安全保障。
让我们做大!
在阅读公共代码有限的博客文章时发现错误很有趣。
你好索拉纳:)
我们将撰写系列文章来介绍如何在 Solana 上保护智能合约。这是第一个。更多的是在路上。
https://blocksecteam.medium.com/secure-the-solana-ecosystem-1-hello-solana-bb7ecc1e6b21
@solana
1/5) Pirate X @PXPNFTsGame
的质押合约被攻击。我们怀疑这是由于私钥泄漏(因为攻击者利用有效的签名消息来发起攻击)。
@defiprime,2/5)Pirate X Pirate(0x6912B19401913F1bd5020b3f59EE986c5792DA54)的质押合约被攻击者攻击,导致PXP代币丢失。3/5) 当用户将他们的 PXP 代币存入该合约时,他们的代币将被转移到一个 EOA 账户 (0x3b74a9cb5f1399b4a5a02559e67da37d450067b7)。当用户提取代币时,合约将调用“Transferfrom”将这些资金转回。4/5) 用户提款时,将提交由项目控制的歌手签名的签名。攻击者提供了外部签名者的有效签名(0x7435e0e4c4d10988e8821dc4853d1db2eceb176d)并提取了 9,681,000 个 PXP 代币。5/5) 攻击者将这些代币投放市场,获利约 212 BNB。
下午4:27 · 2022年3月9
如果合约用完全不同语义的定义明确的函数改变了 OZ 的实现,比如它是否将 OwnershipTransferred 事件发送到零地址,但实际上将新所有者设置为非零地址,该怎么办?
嘿社区,我们想分享我们如何阻止正在进行的攻击以保护 DeFi 生态系统
tx.blocksecteam.com/ETH/0x7d2296bcb936aa5e2397ddf8ccba59f54a178c3901666b49291d880369dbcf31=
@BaconProtocol
老学校重入,
我们的监控系统发现了恶意交易。
经过人工调查,我们确定攻击者使用了@BaconProtocol
的 bHOME 令牌的可重入漏洞。攻击者能够在重入调用中铸造更多代币,然后赎回以获利。
如何免费购买 NFT
https://arbiscan.io/tx/0x37222d3ad371dff2d3f3ae1c788d1cc4ad69e9f1839776830726485119a89269
当 _quantity 为零时,攻击者无需支付即可获得 NFT ......
Poc:
https://github.com/blocksecteam/d
1/4) 对乌克兰捐赠BTC的粗略分析
本次分析基于BTC地址:357a3so9cbsnfbbgfyacgvxxs6tmadoa1p
2/4)
* 捐赠总数为 14,140 (239. 8) BTC,价值约 1000 万美元(按当前价格计算)。
* 捐款数量在 2 月 27 日达到顶峰,4,009(85.37 BTC)。
* 捐款数量自 2 月 27 日起有所减少,但每天超过 1,000 人。
3/4)
* 48.95% 的捐款约为 0.001~0.01 BTC (41 - 410 USD)
* 41.7% 的捐款少于 0.001 BTC
* 只有不到 10% 的捐款大于 0.01 BTC
4/4)
* 超过一半的捐款来自交易所,其中 84.3% 来自币安
* 1.275 BTC 来自与赌博和黑市相关的地址
疯狂,暴涨暴跌?
@biggolddoge,
13:00:26 (UTC): 0x3ee9: 4.58WBNB - > 9500 MarsVOLS (1 WBNB - > 2,071 MarsVOLS)
https://versatile.blocksecteam.com/tx/bsc/0xd6819f992c33991b65103a2970e1afd02bb5cc17c674ef8e04e219fa40de7a63
,
13:02:53 (UTC): 0x3ee9: 12,800 MarsVOLS - > 97 WBNB (131 MarsVOLS - > 1 WBNB )
https://versatile.blocksecteam.com/tx/bsc/0xeb616
[警告] HypeBears 受到攻击。攻击者可以铸造比他/她应该更多的 NFT。
@hypebearsclub
@defiprime
我们已经通过 Twitter 对该项目进行了 DM,但尚未收到任何回复。任何人都可以帮助连接项目所有者?
当“SafeTransfer”变得不安全时:QBridge 安全事件的教训
https://blocksecteam.medium.com/when-safetransfer-becomes-unsafe-lesson-from-the-qbridge-security-incident-c32ecd3ce9da,
@QubitFin
嘿社区,我们正在执行白帽救援。我们无法在当前阶段分享详细信息(以保护用户免受攻击),但我们已将其记录在 pdf 文件中(md5:286b4c040bda356eb685c2ec24d575e0)。
救援完成后,我们将发布此 pdf。
1/4) 诈骗警报:我们发现了一个有趣的骗局,它试图窃取用户的钱。有一个 Youtube 视频 ( https://youtube.com/watch?v=eHO9CeURo_I&t=146s ) 声称可以教用户如何开发 Frontrun 机器人来赚钱。2/4) 但是,它提供的合约有一个后门。被受害者部署后,会将受害者的所有代币转移到攻击者的地址:
0xa74B47d3AfD0d97b9be0aBaa3adF3b5687E54830,
3/4) 我们发现最近三天,攻击者获得了超过 50 个 WBNB,其中大部分已经转移到http://Tornado.Cash 。4/4) The backdoor contract:
https://ghostbin.com/sZVO1/raw
我们的系统报告说,Crosswise Finance
@crosswisefi
刚刚被攻击。 @defiprime
https://versatile.blocksecteam.com/tx/bsc/0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b
根本原因是每个人都可以成为TrustedForwarder,然后绕过onlyOwner ()修饰符。
我们的监控系统刚刚报告了多起“公共烧伤”事件:
https://versatile.blocksecteam.com/tx/bsc/0x56aece43604bde95aa27abc07c225288541cf07ac2c5bf5085fc8b82f905d474
https://tx.blocksecteam.com/BSC/0xf8faed035c747331c623d40906d0142925829f6202013976c1ec8afc9eadb99a
@defiprime
要小心!
一个漏洞是如何被默默修复的......
https://blocksecteam.medium.com/how-a-vulnerability-is-silently-fixed-by-coin98-f910e70398e3
@defiprime
@coin98_wallet
@coin98_labs
1/2) 我们的监控系统提醒 SashimiSwap @SashimiSwap
受到攻击(包括以太坊和 BSC)。我们确认这是由于交换函数的逻辑错误,它总是使用第一对来计算余额。 @bantg
@defiprime
,
https://versatile.blocksecteam.com/tx/eth/0x713c2,
2/2) The attack TX on BSC: https://versatile.blocksecteam.com/tx/bsc/0xdf719
我们很高兴地宣布,BlockSec 已完成由分布式资本领投,A&T Capital、趣联、Impossible Finance、Incuba Alpha 和 NEAR MetaWeb Ventures 参与的种子轮融资。谢谢大家。
from 可以是任何可以铸造免费代币到“to” :)的人
https://versatile.blocksecteam.com/tx/eth/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f
信用:此攻击由 Eth Security tg 组的 Georgios Konstantopoulos ( @gakonst
) 首次披露。
“Bent Finance” @BENT_Finance
神秘操作:日前升级合约,向“Bent Finance Exploiter”提供资金(
0xd23cfffa066f81c7640e3f0dc8bb2958f7686d1f)" 通过修改余额。 @bantg
@defiprime,
https://etherscan.io/tx/0xf711641ea
再次公开销毁,但这次“B”大写:)
https://tx.blocksecteam.com/tx/bsc/0xb9310
1/5) @MonoXFinance
被黑了。黑客交易之一是https://tx.blocksecteam.com/tx/0x9f14d093a,
2/5) 原因是因为tokenIn和tokenOut使用了同一个token。具体来说,在 swapTokenForExactToken 中,攻击者可以使用与 tokenIn 和 tokenOut 相同的令牌。计算新价格后,Monoswap 合约将使用_updateTokenInfo 函数更新价格。3/5) 但是,由于tokenIn和tokenOut是同一个token,更新tokenOut会覆盖tokenIn的价格更新,导致这个token的价格暴涨。4/5) 最后,MooX 代币的价格变得非常高,攻击者用这个代币换掉了池中几乎所有的其他代币。
下午10:33 · 2021年11月30日
1/5) 昨天,我们报道了针对 Visor 项目 ( @VisorFinance
) 的攻击。由于担心所披露的信息可能被滥用攻击他人,我们后来删除了推特。然后我们确认其他池是安全的(也由@samczsun
确认)。2/5)不幸的是,该项目完全忽略了该报告。他们没有立即作出回应。没有公开公告或验尸报告。此外,另一位研究员 ( @qiushui777
) 发推称,他的报告也被完全忽略了 ( https://twitter.com/qiushui777/status/1464384551715700744 )。3/5)这让我们重新思考在 DeFi 世界中报告和披露安全漏洞的正确方法是什么。4/5)我们知道 Google Project Zero 采用了 30 天未公开的政策(如果项目在 90 天或 7 天 ddl 之前对其进行修补)。但是,对于当前被利用的漏洞,保护用户的最佳方法是什么?不存在明确的答案。5/5) 我们想听取社区的意见,让我们知道您的想法
1/N 我们的快速贷款监控系统显示formationfi 被利用。
https://monitor.blocksecteam.com
@FormationFi,
https://tx.blocksecteam.com/tx/0xa992b28ec,
2/N
Formation USD 在交易 0xa992b28ecf2eed778d20d5200946ea341b950be0c3d78b1f2237a4d8d795de95 中被利用,其中攻击者利用了 Formation USD 智能合约中的漏洞 (0xcb6afdc84e8949ddf49ab00b5b351a5b0f65a723)。攻击步骤如下:3/N
1. 存款以便攻击者有股份以供后续步骤使用。4/N
使用大量的 'fee' 参数调用 FormationUSD.swapIn。这笔巨额费用未经检查,将导致状态变量“totalTokens”膨胀。 USDT 的小数点为 6,而 FormationUSD 的小数点为 18,这一事实进一步扩大了这种膨胀。5/N
3.调用撤回。提取的金额是由tokensToTransfer = ( shares * totalTokens)/totalSupply计算的,因此攻击者可以提取大量的金额。
综上所述,攻击者(0x6510438a7e273e71300892c6faf946ab3b04cbcb)获利99,799 USDT。
上午8:40 · 2021年11月21日