一、本周安全事件

1.1 网络安全

雅虎日本集成了FIDO 身份验证方案,FIDO 协议使用标准公钥加密技术来提供更强的身份验证。在向在线服务注册期间,用户的客户端设备会创建一个新的密钥对。它保留私钥并将公钥注册到在线服务。身份验证由客户端设备完成,通过签署质询证明拥有服务的私钥。客户端的私钥只有在用户在设备上本地解锁后才能使用。本地解锁是通过用户友好且安全的操作来完成的,例如滑动手指、输入 PIN、对着麦克风讲话、插入第二因素设备或按下按钮。FIDO 协议的设计初衷是为了保护用户隐 私。这些协议不提供可供不同在线服务用于跨服务协作和跟踪用户的信息。生物特征信息(如果使用)永远不会离开用户的设备。

此次事故的主要原因是Heroku服务的数据库被黑,黑客获取到了用户使用github账号授权登录的Token,黑客使用Token就可以访问与Heroku用户相关联的github私有项目数据。

1.2 区块链安全

原因是由“swapToSwap()”函数中的一个漏洞造成的。该函数在未对传入参数进行筛查验证的情况下,直接将用户输入的 "path "作为受信任方,允许未经验证的 "path "参数(地址)来使用当前合约的资产。因此,通过"depositInternal() "和 "swapToSwap()"调用,攻击者可获得使用当前合约资产的许可,从而盗取合约内的资产。

Polygon 生态去中心化交易平台 QuickSwap 发推表示,与托管在GoDaddy 上的其他协议类似,QuickSwap 已被域名劫持,LP、Dragon's Lair、Syrup Pools 和用户钱包中的资金是安全的,只有交易受到影响,请不要进行交易,团队正在努力解决问题并会尽快更新。Fantom 生态 SpiritSwap 在 AWS 上的前端服务器被黑客攻破并篡改参数,其主机提供商也是 GoDaddy。

Rarible的Discord遭受攻击,钓鱼链接正在Discord中流传。项目方表示目前没有任何空投、铸造的活动,请不要点击链接并及时解除授权,若确实丢失NFT可通过邮件([email protected])与Rarible团队联系。

攻击原因是由于ownlyio项目的质押合约的unstake函数并没有检查用户领取状态,导致攻击者可以利用unstake函数无限领取合约中ownly代币,从而提取质押合约中的所有ownly代币,最后攻击者把获取到的ownly代币通过pair交易兑换出115个BNB。

Feminist Metaverse漏洞点为FM Token合约直接向SakeSwapPair转账,并未通过添加流动性的方式将FM Token代币转入SakeSwapPair。攻击者通过多次转账,将合约地址持有的7515万枚FM Token转移到SakeSwapPair合约中,然后直接通过skim把对应的FM Token币转移到自己账户下,然后再卖出获利。

二、本周投融资