SlowMist Security: Hay una vulnerabilidad grave en Quiuixotic, cancela la autorización lo antes posible

[Seguridad de SlowMist: Quiuixotic tiene una laguna grave, cancela la autorización lo antes posible] Según la información del equipo de seguridad de SlowMist, el 1 de julio de 2022 se produjo una laguna grave en Quiuixotic, la plataforma NFT más grande del ecosistema Optimism , y se robaron una gran cantidad de activos de los usuarios. Los usuarios que han negociado en el mercado deben cancelar la autorización lo antes posible.

En la función llenar orden de venta del contrato de mercado, solo se verifica la orden de venta y no se verifica la orden de compra del comprador. Por lo tanto, el atacante primero crea un contrato NFT arbitrario, llama a la función fillSellOrder para generar una orden de venta, pasa el parámetro del comprador como la dirección de la víctima y el parámetro de pago ERC20 como la dirección del token que se va a robar, y luego el usuario autorizado. al contrato de mercado Los tokens se transfieren para obtener una ganancia.

Otras noticias:

Qi Fu, socio de SlowMist Technology: existe un fuerte consenso sobre la moneda digital impulsada por la tecnología blockchain, y los escenarios de aplicación futuros serán muy amplios: informe en vivo de Jinse Finance, 20 de septiembre, organizado por Jinse Finance, patrocinado por Shuiqiao Blockchain The La "Conferencia Juntos por los Empresarios" se llevó a cabo en Xiamen. En la sesión de diálogo de la mesa redonda sobre el tema "Cómo Blockchain promueve el desarrollo de la era de la economía digital", Qi Fu, socio de SlowMist Technology, dijo que la tecnología blockchain tiene la función de redistribución de la riqueza desde su nacimiento. Todo el mundo puede tener más conocimiento de la cadena de bloques. En los primeros días, el consenso de todos sobre las monedas súper soberanas o no soberanas hizo que todos pensaran que las criptomonedas tienen muchos escenarios de uso. Aunque no hay muchos escenarios de aplicación de criptomonedas en la actualidad, la tendencia general es muy obvia y tendrá un mejor espacio de desarrollo en el futuro, especialmente cuando hay una burbuja o inflación. [2020/9/20]

Voice | SlowMist Cosine: Investigar criptomonedas es por amor a la tecnología: Cosine, el fundador de la compañía de seguridad de blockchain SlowMist, publicó en Weibo que investigar criptomonedas es por amor a la tecnología. De hecho, muchas monedas principales se han estudiado a lo largo de los años. Algunas monedas pequeñas han encontrado algunos problemas, muchos de los cuales son problemas de seguridad. Más tarde, fundaron conjuntamente SlowMist Technology, que se dedica a la seguridad de la ecología de la cadena de bloques. Mencioné los problemas de privacidad y seguridad de MimbleWimble, pero eso no significa que no me gusten Grin y BEAM, al contrario, los sigo manteniendo, al igual que he estudiado los problemas de seguridad de Monero y Zcash durante mucho tiempo. , y sigo manteniéndolos. Tener lagunas no es un gran problema en absoluto, no mejorar o evolucionar es un gran problema. Hago todo lo posible para hacer un buen trabajo en la investigación de tecnología de seguridad de manera objetiva, y no sobreinterpreto las opiniones de salida, especialmente no interpreto "largo y corto". [2019/3/24]

Noticias | Advertencia de vulnerabilidad de 0 días de SlowMist TradingView: según el análisis en profundidad de la inteligencia de Joinsec y el equipo de seguridad de SlowMist, la biblioteca general K-line Display JS TradingView encontró dos vulnerabilidades de 0 días nuevamente, que pueden eludir los mecanismos de defensa CSP de Cloudflare y del navegador, y No se dejan registros en el servicio web. Si la primera vulnerabilidad de 0day se explota con éxito, provocará el robo de permisos de cuentas de usuario, transacciones maliciosas, etc., lo que resultará en la pérdida de activos; la segunda vulnerabilidad de 0day puede implementar ataques de phishing para robar contraseñas de cuentas de usuario y también puede omitirse en escenarios especiales CSRF defensa del servicio web de destino. TradingView es ampliamente utilizado en el comercio de divisas digitales y otras plataformas.Pertenece a un software comercial y se desconoce la distribución de su versión. En vista de las divulgaciones históricas y los escenarios relacionados con vulnerabilidades de día cero recientemente descubiertos, recomendamos encarecidamente que las partes del proyecto que utilizan TradingView permanezcan alerta y presten atención a los comentarios anormales de los usuarios. Los detalles se darán a conocer a su debido tiempo. [2019/3/1]