安全公司慢雾：Punk Protocol被攻击主要因其未做重复初始化检查

安全公司慢雾对去中心化年金协议PunkProtocol遭遇攻击的原理进行了解析。攻击者首先调用CompoundModel合约的Initialize函数进行重复初始化操作将合约Forge角色设置为攻击者指定的地址。随后攻击者为了最大程度的将合约中资金取出，其调用了invest函数将合约中的资金抵押至Compound中以取得抵押凭证cToken。最后攻击者直接调用withdrawToForge函数将合约中的cToken转回Compound获取对应的底层资产并最终将其转给Forge角色。withdrawToForge函数被限制只有Forge角色可以调用，但Forge角色已被重复初始化为攻击者指定的地址，因此最终合约管理的资产都被转移至攻击者指定的地址。本次攻击的根本原因在于其CompoundModel的Initialize函数未做重复初始化检查，导致攻击者直接调用此函数进行重复初始化替换Forge角色，最终造成合约管理的资产被盗。

毕马威推出的AI安全公司Cranium筹集700万美元风险投资:金色财经报道，毕马威(KPMG)合伙人Jonathan Dambrot和另外两位联合创始人Felix Knoll和Paul Spicer共同创立AI安全初创公司Cranium。到目前为止，已经从毕马威(KPMG)和SYN Ventures筹集了700万美元的风险投资。

Dambrot表示，开发Cranium是为了在客户层面发现并提供人工智能系统的可见性，提供安全报告和监控，并创建合规和供应链可见性报告。核心产品更全面地考虑了人工智能安全和供应链风险。Cranium目前有大约30名全职员工。假设业务好转，该公司预计将结束亏损[2023/4/5 13:46:22]

安全公司：一种伪造成BUSD的虚假代币已被空投到1.5万个地址:9月14日消息，据安全公司HashDit的推特警报，一种伪造成BUSD的代币BUSDb已被空投到15000个不同的钱包地址，请注意安全。

该虚假代币合约为0xd0cae3cb951f69695e31885f63b26f57a940a95e。[2022/9/14 13:29:35]

公告 | Taxa Network已通过区块链安全公司CertiK智能合约安全审计:Taxa团队宣布已通过区块链安全公司CertiK智能合约的安全审计，这将确保Taxa主网在今年春天顺利发布。CertiK的智能标签对TXT智能合约源代码进行了100%形式化验证覆盖，并辅以安全专家人工逐行审核。审计结果认为TXT智能合约结构坚固，不存在整数溢出、函数错误、缓冲区溢出等漏洞。[2020/2/13]

标签：FORGEFORORGCOMDeFi ForgeFORT价格CorgiSwapCOMBI价格

DOT热门资讯