#vulnerability
vulnerability
5,890 vues
29 mentions
Populaire
Récents
#vulnerability Question: Pensez-vous que nous sommes sur le point d'une nouvelle crise économique mondiale ? Ou est-ce juste une vague temporaire ? Partagez votre avis ! 👇 Et si vous êtes investisseur, comment vous préparez-vous à cette situation ?
Binance News
·
--
Le piratage de Cetus exploite une vulnérabilité de débordement, entraînant une perte de 230 millions de dollars
Selon Odaily, une analyse détaillée réalisée par SlowMist a révélé les mécanismes du récent vol de 230 millions de dollars chez Cetus. L'attaque s'appuyait sur l'exploitation d'une vulnérabilité de débordement dans la fonction get_delta_a, contournant spécifiquement la détection de débordement checked_shlw. Cela a permis à l'attaquant de manipuler des paramètres, provoquant un calcul erroné du nombre de jetons haSUI requis par le système. L'attaquant a ainsi pu échanger une quantité minimale de jetons contre une quantité substantielle de liquidités.
Votre contrat Web3 est-il sécurisé ? 🔐
#Thirdweb , une société de développement de contrats intelligents, a signalé une faille de sécurité critique dans une bibliothèque open source largement utilisée affectant divers contrats intelligents Web3, appelant à une action immédiate.
Le #vulnerability , impactant des contrats comme DropERC20 et ERC721, est resté inexploité, laissant une brève fenêtre de prévention.
Thirdweb a conseillé aux utilisateurs sous contrat de prendre des mesures d'atténuation ou d'utiliser le #revoke.cash pour se protéger.
L'entreprise a renforcé les mesures de sécurité, doublé les paiements des bug bounty et promis des subventions pour l'atténuation des contrats, après avoir levé 24 millions de dollars en financement de série A.
Avec plus de 70 000 développeurs utilisant leurs services, l'avertissement proactif de Thirdweb souligne le besoin urgent d'un développement sécurisé de contrats intelligents dans Web3.
#Binance
#crypto2023
#Thirdweb , une société de développement de contrats intelligents, a signalé une faille de sécurité critique dans une bibliothèque open source largement utilisée affectant divers contrats intelligents Web3, appelant à une action immédiate.
Le #vulnerability , impactant des contrats comme DropERC20 et ERC721, est resté inexploité, laissant une brève fenêtre de prévention.
Thirdweb a conseillé aux utilisateurs sous contrat de prendre des mesures d'atténuation ou d'utiliser le #revoke.cash pour se protéger.
L'entreprise a renforcé les mesures de sécurité, doublé les paiements des bug bounty et promis des subventions pour l'atténuation des contrats, après avoir levé 24 millions de dollars en financement de série A.
Avec plus de 70 000 développeurs utilisant leurs services, l'avertissement proactif de Thirdweb souligne le besoin urgent d'un développement sécurisé de contrats intelligents dans Web3.
#Binance
#crypto2023
🚨 Le protocole #Balancer a été piraté et environ 116M$ millions de dollars ont été volés 🚨
Tout ce que vous devez savoir sur le piratage 👇
Volé :
7,800 $WETH
6,300 $osETH
5,400 $wstETH
Un portefeuille pourrait appartenir à l'équipe de Balancer a contacté le pirate et lui a offert 20M$ millions de dollars de récompense pour qu'il restitue l'argent
$BAL
Tout ce que vous devez savoir sur le piratage 👇
Volé :
7,800 $WETH
6,300 $osETH
5,400 $wstETH
Un portefeuille pourrait appartenir à l'équipe de Balancer a contacté le pirate et lui a offert 20M$ millions de dollars de récompense pour qu'il restitue l'argent
$BAL
Progress Software a publié un correctif d'urgence pour une faille critique #vulnerability (CVE-2024-7591) dans ses produits #LoadMaster et LoadMaster Multi-Tenant (MT) Hypervisor. Cette faille, avec un score de gravité maximal de 10/10, permet aux attaquants distants d'exécuter des commandes arbitraires via une requête #HTTP spécialement conçue en raison d'une validation d'entrée incorrecte. La vulnérabilité affecte LoadMaster version 7.2.60.0 et antérieures, ainsi que MT Hypervisor version 7.1.35.11 et antérieures, y compris les branches Long-Term Support (LTS). Un correctif a été publié via un package complémentaire, bien qu'il ne couvre pas la version gratuite de LoadMaster. Bien qu'aucun rapport d'exploitation n'ait été reçu, les utilisateurs sont invités à appliquer le correctif et à suivre les pratiques de renforcement de la sécurité pour protéger leurs systèmes.
#vulnerability
Juniper Alerte des Attaques de Botnet Mirai sur les Routeurs Intelligents de Session
05566017395 a émis une alerte de sécurité concernant un botnet basé sur Mirai ciblant les routeurs intelligents de Session avec des identifiants par défaut. Le logiciel malveillant recherche des dispositifs vulnérables, exécute des commandes à distance et permet des attaques #DDoS .
Les principaux indicateurs de compromission incluent des tentatives de connexion par force brute, des pics de trafic sortant, un comportement erratique des dispositifs et des analyses sur des ports communs. Juniper exhorte les utilisateurs à remplacer les mots de passe par défaut, à mettre à jour le firmware, à surveiller les journaux et à déployer des pare-feu. Les dispositifs infectés doivent être réimagés pour garantir l'élimination complète de la menace.
Les administrateurs sont conseillés d'adopter de solides pratiques de sécurité pour prévenir d'autres attaques.
Juniper Alerte des Attaques de Botnet Mirai sur les Routeurs Intelligents de Session
05566017395 a émis une alerte de sécurité concernant un botnet basé sur Mirai ciblant les routeurs intelligents de Session avec des identifiants par défaut. Le logiciel malveillant recherche des dispositifs vulnérables, exécute des commandes à distance et permet des attaques #DDoS .
Les principaux indicateurs de compromission incluent des tentatives de connexion par force brute, des pics de trafic sortant, un comportement erratique des dispositifs et des analyses sur des ports communs. Juniper exhorte les utilisateurs à remplacer les mots de passe par défaut, à mettre à jour le firmware, à surveiller les journaux et à déployer des pare-feu. Les dispositifs infectés doivent être réimagés pour garantir l'élimination complète de la menace.
Les administrateurs sont conseillés d'adopter de solides pratiques de sécurité pour prévenir d'autres attaques.
@7h3h4ckv157
CVE-2024-49112
Critique RCE #vulnerability affectant le client LDAP Windows avec un score CVSS de 9.8. Cette vulnérabilité pourrait permettre à un attaquant non privilégié d'exécuter du code arbitraire sur un serveur Active Directory en envoyant un ensemble spécialisé d'appels LDAP au serveur.
Microsoft recommande que tous les serveurs Active Directory soient configurés pour ne pas accepter les appels de procédure à distance (RPC) provenant de réseaux non fiables en plus de corriger cette vulnérabilité.
CVE-2024-49112
Critique RCE #vulnerability affectant le client LDAP Windows avec un score CVSS de 9.8. Cette vulnérabilité pourrait permettre à un attaquant non privilégié d'exécuter du code arbitraire sur un serveur Active Directory en envoyant un ensemble spécialisé d'appels LDAP au serveur.
Microsoft recommande que tous les serveurs Active Directory soient configurés pour ne pas accepter les appels de procédure à distance (RPC) provenant de réseaux non fiables en plus de corriger cette vulnérabilité.
Les utilisateurs de Gmail ont été avertis de vérifier leurs comptes et de changer leurs mots de passe après la révélation d'une fuite massive de données compromettant plus de 183 millions de références d'identification. L'expert en cybersécurité australien Troy Hunt, créateur du site Have | Been Pwned, a signalé la découverte de ce qu'il a décrit comme un "vaste corpus" d'informations filtrées, avec un volume de 3,5 téraoctets de données comprenant des adresses e-mail et des mots de passe. Les autorités technologiques recommandent aux utilisateurs d'activer la vérification en deux étapes et de ne pas réutiliser les mots de passe sur différents services, face au risque que les données soient utilisées dans des tentatives d'usurpation d'identité ou des attaques d'accès non autorisé. Qu'en pensez-vous ?
#Hackers #gmail #filtraciones #vulnerability
#Hackers #gmail #filtraciones #vulnerability
$CLAW — OPENCLAW VULNERABILITÉ DÉCOUVERTE ! 💎
FALLES DE SÉCURITÉ CRITIQUES EXPOSÉES, ACTION IMMÉDIATE REQUISE.
ENTRÉE STRATÉGIQUE : N/A 💎
OBJECTIFS DE CROISSANCE : N/A 🏹
GESTION DES RISQUES : N/A 🛡️
INVALIDATION : N/A 🚫
L'ARGENT INTELLIGENT QUITTE. LA LIQUIDITÉ EST ÉPUISÉE DES POSITIONS EXPOSÉES. LE FLUX DES COMMANDES MONTRE DES VENTES MASSIVES. PROTÉGEZ VOS ACTIFS MAINTENANT.
Ce n'est pas un conseil financier.
#CryptoSecurity #OpenClaw #AIrisk #Vulnerability 💎
FALLES DE SÉCURITÉ CRITIQUES EXPOSÉES, ACTION IMMÉDIATE REQUISE.
ENTRÉE STRATÉGIQUE : N/A 💎
OBJECTIFS DE CROISSANCE : N/A 🏹
GESTION DES RISQUES : N/A 🛡️
INVALIDATION : N/A 🚫
L'ARGENT INTELLIGENT QUITTE. LA LIQUIDITÉ EST ÉPUISÉE DES POSITIONS EXPOSÉES. LE FLUX DES COMMANDES MONTRE DES VENTES MASSIVES. PROTÉGEZ VOS ACTIFS MAINTENANT.
Ce n'est pas un conseil financier.
#CryptoSecurity #OpenClaw #AIrisk #Vulnerability 💎
#CyversAlerts
Notre système a détecté plusieurs transactions suspectes impliquant des contrats de prêt non vérifiés sur #Base il y a quelques heures.
L'attaquant a initialement effectué une transaction suspecte, obtenant environ 993K $ grâce à ces contrats non vérifiés. La plupart de ces tokens ont été échangés et transférés vers la chaîne #Ethereum , avec environ 202K $ déposés dans #TornadoCash .
L'attaquant a obtenu un montant supplémentaire de 455K $ en exploitant le même #vulnerability . La cause principale semble être la manipulation des prix de WETH par un emprunt excessif.
Notre système a détecté plusieurs transactions suspectes impliquant des contrats de prêt non vérifiés sur #Base il y a quelques heures.
L'attaquant a initialement effectué une transaction suspecte, obtenant environ 993K $ grâce à ces contrats non vérifiés. La plupart de ces tokens ont été échangés et transférés vers la chaîne #Ethereum , avec environ 202K $ déposés dans #TornadoCash .
L'attaquant a obtenu un montant supplémentaire de 455K $ en exploitant le même #vulnerability . La cause principale semble être la manipulation des prix de WETH par un emprunt excessif.
Une faille critique #vulnerability dans le kit d'outils #Nvidia Container, identifiée comme CVE-2024-0132, présente un risque important pour les applications #AI爆发 utilisant ce kit d'outils pour un accès #GPU . Cette faille permet aux adversaires d'effectuer des attaques d'échappement de conteneur, en prenant le contrôle total du système hôte, ce qui pourrait conduire à l'exécution de commandes et à l'exfiltration de données. Le problème affecte les versions 1.16.1 et antérieures du kit d'outils NVIDIA Container et 24.6.1 et antérieures de l'opérateur GPU.
La vulnérabilité provient d'une isolation inadéquate entre le GPU conteneurisé et l'hôte, ce qui permet aux conteneurs d'accéder à des parties sensibles du système de fichiers hôte et aux sockets Unix inscriptibles. Ce risque de sécurité est répandu dans plus de 35 % des environnements cloud, en particulier parce que de nombreuses plateformes d'IA sont préinstallées avec la bibliothèque concernée.
Wiz Research a signalé le problème à NVIDIA le 1er septembre, et NVIDIA l'a reconnu peu de temps après, en publiant un correctif le 26 septembre. Il est conseillé aux utilisateurs de mettre à niveau vers la version 1.16.2 de NVIDIA Container Toolkit et 24.6.2 de GPU Operator. Les détails techniques pour exploiter cette vulnérabilité seront publiés ultérieurement pour laisser aux organisations le temps d'atténuer le problème par Bill Toulas
La vulnérabilité provient d'une isolation inadéquate entre le GPU conteneurisé et l'hôte, ce qui permet aux conteneurs d'accéder à des parties sensibles du système de fichiers hôte et aux sockets Unix inscriptibles. Ce risque de sécurité est répandu dans plus de 35 % des environnements cloud, en particulier parce que de nombreuses plateformes d'IA sont préinstallées avec la bibliothèque concernée.
Wiz Research a signalé le problème à NVIDIA le 1er septembre, et NVIDIA l'a reconnu peu de temps après, en publiant un correctif le 26 septembre. Il est conseillé aux utilisateurs de mettre à niveau vers la version 1.16.2 de NVIDIA Container Toolkit et 24.6.2 de GPU Operator. Les détails techniques pour exploiter cette vulnérabilité seront publiés ultérieurement pour laisser aux organisations le temps d'atténuer le problème par Bill Toulas
#AnciliaInc
Il semble que quelque chose se soit produit avec le contrat #RDNTCapital sur #BSC .
Nous avons remarqué plusieurs transferts depuis le compte utilisateur via le contrat 0xd50cf00b6e600dd036ba8ef475677d816d6c4281.
Veuillez révoquer votre approbation dès que possible. Il semble que la nouvelle implémentation ait #vulnerability fonctions.
Il semble qu'un contrat de porte dérobée ait été déployé à ce tx 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c, il semble que plus de 16 millions de dollars aient été transférés.
hachage de transaction
#HackerAlert
$BNB
Il semble que quelque chose se soit produit avec le contrat #RDNTCapital sur #BSC .
Nous avons remarqué plusieurs transferts depuis le compte utilisateur via le contrat 0xd50cf00b6e600dd036ba8ef475677d816d6c4281.
Veuillez révoquer votre approbation dès que possible. Il semble que la nouvelle implémentation ait #vulnerability fonctions.
Il semble qu'un contrat de porte dérobée ait été déployé à ce tx 0xd97b93f633aee356d992b49193e60a571b8c466bf46aaf072368f975dc11841c, il semble que plus de 16 millions de dollars aient été transférés.
hachage de transaction
#HackerAlert
$BNB
$INJ VULNÉRABILITÉ EXPOSEE : 500 millions de dollars EN DANGER ! 🚨
Une vulnérabilité critique dans le protocole Injective ($INJ ) a été divulguée, permettant potentiellement de siphonner plus de 500 millions de dollars d'actifs. La gestion par le projet du rapport white-hat et du différend sur la prime soulève des préoccupations significatives concernant la sécurité du protocole et la réactivité de l'équipe. Cet incident pourrait affecter la confiance institutionnelle et les flux de liquidité.
Surveillez la liquidité de $INJ . Les baleines observent de près les conséquences de cette exploitation. Attendez-vous à une volatilité alors que les participants du marché réévaluent le risque. Observez les carnets de commandes pour de grosses transactions. Protégez votre capital. Ajustez vos positions en fonction des nouvelles informations. Exigez de la transparence de la part des équipes de projet. Sécurisez vos avoirs.
Ce n'est pas un conseil financier. Gérez votre risque.
#İNJ #CryptoNews #DeFi #Vulnerability #WhaleAlert
⚡️
Une vulnérabilité critique dans le protocole Injective ($INJ ) a été divulguée, permettant potentiellement de siphonner plus de 500 millions de dollars d'actifs. La gestion par le projet du rapport white-hat et du différend sur la prime soulève des préoccupations significatives concernant la sécurité du protocole et la réactivité de l'équipe. Cet incident pourrait affecter la confiance institutionnelle et les flux de liquidité.
Surveillez la liquidité de $INJ . Les baleines observent de près les conséquences de cette exploitation. Attendez-vous à une volatilité alors que les participants du marché réévaluent le risque. Observez les carnets de commandes pour de grosses transactions. Protégez votre capital. Ajustez vos positions en fonction des nouvelles informations. Exigez de la transparence de la part des équipes de projet. Sécurisez vos avoirs.
Ce n'est pas un conseil financier. Gérez votre risque.
#İNJ #CryptoNews #DeFi #Vulnerability #WhaleAlert
⚡️
Le lancement équitable DeFi est mort, les bots gagnent
Les bots viennent de gagner. Une vente de jetons DEX majeure $SOL a été complètement annulée après que des scripts automatisés aient consommé 100 % de l'offre. Les utilisateurs réels n'ont eu aucun accès. Ce n'est pas un exercice - cela expose une vulnérabilité catastrophique dans les modèles de distribution DeFi. Si l'intégrité du système de quelque chose d'aussi basique échoue, cela jette une ombre sur l'ensemble du marché, y compris le $BTC. Chaque projet doit mettre en œuvre des mesures anti-bots robustes immédiatement ou regarder la confiance de la communauté disparaître.
Ce n'est pas un conseil financier. Faites vos propres recherches.
#Solana #DeFi #TokenLaunch #CryptoNews #Vulnerability
🚨
Les bots viennent de gagner. Une vente de jetons DEX majeure $SOL a été complètement annulée après que des scripts automatisés aient consommé 100 % de l'offre. Les utilisateurs réels n'ont eu aucun accès. Ce n'est pas un exercice - cela expose une vulnérabilité catastrophique dans les modèles de distribution DeFi. Si l'intégrité du système de quelque chose d'aussi basique échoue, cela jette une ombre sur l'ensemble du marché, y compris le $BTC. Chaque projet doit mettre en œuvre des mesures anti-bots robustes immédiatement ou regarder la confiance de la communauté disparaître.
Ce n'est pas un conseil financier. Faites vos propres recherches.
#Solana #DeFi #TokenLaunch #CryptoNews #Vulnerability
🚨
$OPENCLAW — OPENCLAW AGENT IA FAÇONNE UNE FAILLE DE SÉCURITÉ CRITIQUE 💎
ACTION IMPÉRATIVE REQUISE POUR ATTÉNUER L'EXPOSITION ÉTENDUE
ENTRÉE STRATÉGIQUE : 0,15 USDT 💎
OBJECTIFS DE CROISSANCE : 0,25 USDT 🏹
GESTION DES RISQUES : 0,10 USDT 🛡️
INVALIDATION : 0,08 USDT 🚫
L'argent intelligent exploite les vulnérabilités. La liquidité est ciblée. Le flux de commandes indique une forte baisse. Sécurisez vos positions maintenant.
Ce n'est pas un conseil financier.
#OpenClaw #AISecurity #Vulnerability #MarketAlert 💎
ACTION IMPÉRATIVE REQUISE POUR ATTÉNUER L'EXPOSITION ÉTENDUE
ENTRÉE STRATÉGIQUE : 0,15 USDT 💎
OBJECTIFS DE CROISSANCE : 0,25 USDT 🏹
GESTION DES RISQUES : 0,10 USDT 🛡️
INVALIDATION : 0,08 USDT 🚫
L'argent intelligent exploite les vulnérabilités. La liquidité est ciblée. Le flux de commandes indique une forte baisse. Sécurisez vos positions maintenant.
Ce n'est pas un conseil financier.
#OpenClaw #AISecurity #Vulnerability #MarketAlert 💎
L'architecture EVM de Cosmos vient de révéler une vulnérabilité de sécurité, Saga a déjà été touchée, mais heureusement, l'action officielle a été rapide, et le patch est désormais en place.
Pour être honnête, cette situation fait partie des "douleurs classiques" dans le processus d'adaptation EVM de l'écosystème Cosmos. Vouloir profiter des dividendes de trafic d'Ethereum implique effectivement des risques d'adaptation sous-jacents. Pour Saga, qui se concentre sur la haute performance en tant que L1, un tremblement de la base de sécurité impactera sans aucun doute la liquidité à court terme et la volonté de mise en jeu, et la solidité des fondamentaux devra être réévaluée.
Pour l'instant, la rapidité de réponse de l'équipe est correcte, et il est déjà heureux qu'il n'y ait pas eu de pertes massives. Nous devrions maintenant surveiller les fluctuations de la TVL en chaîne ; si les gros capitaux choisissent de rester, alors cette vague de nouvelles négatives sera considérée comme digérée. Pensez-vous que Saga peut tenir le coup cette fois-ci ? #Cosmos #Saga #Sécurité #Vulnerability $ATOM $SAGA
Pour être honnête, cette situation fait partie des "douleurs classiques" dans le processus d'adaptation EVM de l'écosystème Cosmos. Vouloir profiter des dividendes de trafic d'Ethereum implique effectivement des risques d'adaptation sous-jacents. Pour Saga, qui se concentre sur la haute performance en tant que L1, un tremblement de la base de sécurité impactera sans aucun doute la liquidité à court terme et la volonté de mise en jeu, et la solidité des fondamentaux devra être réévaluée.
Pour l'instant, la rapidité de réponse de l'équipe est correcte, et il est déjà heureux qu'il n'y ait pas eu de pertes massives. Nous devrions maintenant surveiller les fluctuations de la TVL en chaîne ; si les gros capitaux choisissent de rester, alors cette vague de nouvelles négatives sera considérée comme digérée. Pensez-vous que Saga peut tenir le coup cette fois-ci ? #Cosmos #Saga #Sécurité #Vulnerability $ATOM $SAGA
Le développeur de #LNbank a annoncé un autre problème critique #vulnerability dans le logiciel, exhortant les utilisateurs à effectuer immédiatement une mise à niveau vers LNbank v1.9.2. Cette version corrige la vulnérabilité spécifique et désactive également la fonctionnalité d'envoi pour éviter d'autres problèmes.
Cependant, malgré le correctif, le développeur a décidé d'arrêter le développement de LNbank en raison de l'incapacité à garantir sa sécurité. Cette décision a été prise après avoir examiné les récents rapports de vulnérabilité et les risques potentiels liés à l'utilisation du plugin. LNbank v1.9.2 sera la version finale, et il est fortement conseillé aux utilisateurs d'abandonner progressivement son utilisation, en particulier s'il est accessible au public.
Le développeur reconnaît le nombre inattendu d'utilisateurs utilisant LNbank et souligne l'importance de ne pas risquer des fonds importants avec de tels plugins ou nœuds. La version finale, v1.9.2, désactive la fonctionnalité d'envoi pour plus de sécurité, ce qui signifie que les utilisateurs devront gérer leurs fonds via Lightning node CLI ou des outils tiers.
Pour ceux qui rencontrent des difficultés pour effectuer la mise à niveau vers LNbank v1.9.2, le développeur suggère de désinstaller puis de réinstaller le plugin. Les données stockées dans la base de données seront conservées pendant la désinstallation, en supprimant uniquement le code du plugin du système de fichiers.
Tout utilisateur ayant besoin d'une assistance supplémentaire pour la mise à niveau ou pour d'autres questions liées à LNbank est encouragé à contacter le développeur (d11n) sur sa plateforme #Mattermost .
Cependant, malgré le correctif, le développeur a décidé d'arrêter le développement de LNbank en raison de l'incapacité à garantir sa sécurité. Cette décision a été prise après avoir examiné les récents rapports de vulnérabilité et les risques potentiels liés à l'utilisation du plugin. LNbank v1.9.2 sera la version finale, et il est fortement conseillé aux utilisateurs d'abandonner progressivement son utilisation, en particulier s'il est accessible au public.
Le développeur reconnaît le nombre inattendu d'utilisateurs utilisant LNbank et souligne l'importance de ne pas risquer des fonds importants avec de tels plugins ou nœuds. La version finale, v1.9.2, désactive la fonctionnalité d'envoi pour plus de sécurité, ce qui signifie que les utilisateurs devront gérer leurs fonds via Lightning node CLI ou des outils tiers.
Pour ceux qui rencontrent des difficultés pour effectuer la mise à niveau vers LNbank v1.9.2, le développeur suggère de désinstaller puis de réinstaller le plugin. Les données stockées dans la base de données seront conservées pendant la désinstallation, en supprimant uniquement le code du plugin du système de fichiers.
Tout utilisateur ayant besoin d'une assistance supplémentaire pour la mise à niveau ou pour d'autres questions liées à LNbank est encouragé à contacter le développeur (d11n) sur sa plateforme #Mattermost .
Via#AnciliaAlertssur X, @rugged_dot_art a identifié une réentrée #vulnerability dans un contrat intelligent avec l'adresse 0x9733303117504c146a4e22261f2685ddb79780ef, permettant à un attaquant de le #exploit et d'obtenir 11 #ETH . La transaction d'attaque peut être tracée sur #Etherscan à https://etherscan.io/tx/0x5a63da39b5b83fccdd825fed0226f330f802e995b8e49e19fbdd246876c67e1f. Malgré avoir contacté le propriétaire il y a trois jours, il n'a reçu aucune réponse.
La vulnérabilité réside dans la fonction targetingPurchase(), où un utilisateur peut saisir des swapParams arbitraires, y compris des commandes à 4. Cela déclenche la fonction UNIVERSAL_ROUTER.execute(), et selon la référence technique Uniswap, la commande 4 correspond à SWEEP, invoquant la fonction sweep(). Cette fonction renvoie l'ETH au contrat de l'utilisateur, ce qui entraîne un problème de réentrée.
Dans targetingPurchase(), une vérification du solde est effectuée avant et après l'appel de _executeSwap(). En raison du problème de réentrée, un utilisateur peut staker des jetons (par exemple, à partir d'un prêt flash) pour satisfaire la vérification du solde, garantissant ainsi une action d'achat réussie où les jetons sont transférés à l'utilisateur. L'urgence de la situation est soulignée par la période d'attente continue de la réponse du propriétaire, soulignant la nécessité d'une attention rapide pour atténuer l'exploitation potentielle.
La vulnérabilité réside dans la fonction targetingPurchase(), où un utilisateur peut saisir des swapParams arbitraires, y compris des commandes à 4. Cela déclenche la fonction UNIVERSAL_ROUTER.execute(), et selon la référence technique Uniswap, la commande 4 correspond à SWEEP, invoquant la fonction sweep(). Cette fonction renvoie l'ETH au contrat de l'utilisateur, ce qui entraîne un problème de réentrée.
Dans targetingPurchase(), une vérification du solde est effectuée avant et après l'appel de _executeSwap(). En raison du problème de réentrée, un utilisateur peut staker des jetons (par exemple, à partir d'un prêt flash) pour satisfaire la vérification du solde, garantissant ainsi une action d'achat réussie où les jetons sont transférés à l'utilisateur. L'urgence de la situation est soulignée par la période d'attente continue de la réponse du propriétaire, soulignant la nécessité d'une attention rapide pour atténuer l'exploitation potentielle.
🔻🔻$BTC ________🔥 pour les mises à jour BTC ⏫️⏫️⏫️
Une étude identifie une vulnérabilité dans les puces Apple M-Series permettant aux pirates de récupérer des clés privées
BTC - VENDRE
Raison : La vulnérabilité des puces de la série M d'Apple pourrait entraîner une perte de confiance dans la sécurité numérique, ce qui pourrait affecter négativement le sentiment du marché pour Bitcoin.
Force du signal : ÉLEVÉE
Heure du signal : 2024-03-23 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
Toujours DYOR. Il ne s’agit pas d’un conseil financier, mais de notre point de vue sur le mouvement d’actifs le plus probable au cours de l’événement. Quel est ton?
Une étude identifie une vulnérabilité dans les puces Apple M-Series permettant aux pirates de récupérer des clés privées
BTC - VENDRE
Raison : La vulnérabilité des puces de la série M d'Apple pourrait entraîner une perte de confiance dans la sécurité numérique, ce qui pourrait affecter négativement le sentiment du marché pour Bitcoin.
Force du signal : ÉLEVÉE
Heure du signal : 2024-03-23 05:08:59 GMT
#hackers
#Apple #vulnerability #BTCUSDT #SignalAlert
Toujours DYOR. Il ne s’agit pas d’un conseil financier, mais de notre point de vue sur le mouvement d’actifs le plus probable au cours de l’événement. Quel est ton?
Connectez-vous pour découvrir d’autres contenus