鏈捕手消息,安全分析團隊慢霧發布PolyNetwork被攻擊事件的分析報告。慢霧認為,該攻擊瞄準的潛在漏洞是EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。
動態 | 慢霧發布有關IOTA用戶Trinity錢包被盜幣攻擊的推測:IOTA 因為近期不少用戶的 Trinity 錢包被盜幣攻擊,為了阻止攻擊繼續、調查與修復具體原因,主網協調器都暫停運行了。這是一個被低估的經典攻擊,官方沒披露具體攻擊細節,但通過慢霧的分析,可以做出某些重要推測,首先可以明確的幾個點:1. 不是 IOTA 區塊鏈協議的問題,是 IOTA 的 Trinity 桌面錢包的問題(官方說的,且先相信)2. 這款桌面錢包基于 Electron(一個使用 JavaScript 為核心構建桌面應用的框架),意味著核心代碼是 JavaScript 寫的3. 在做該做錢包新舊版本代碼的 diff 分析時,發現去除了之前內置的一個交易所功能模塊 MoonPay,這其中關鍵點是去掉了一段可怕的代碼:const script = document.createElement('script');
script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';
document.write(script.outerHTML);如果這個第三方 JavaScript 鏈接主動或被黑作惡,那該桌面版錢包就可以認為是完全淪陷了。到這,慢霧很有理由相信這是個很大的定時炸彈,如果這個定時炸彈是真的炸了,那很吻合官方的一些說辭與解釋,如:盡快升級新版本的 Trinity 桌面錢包,盡快改密碼,盡快轉移資產到安全種子里等等。且看官方的后續披露。[2020/2/19]
因此,攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper,替換keeper角色的地址后,攻擊者可以隨意構造交易,從合約中提取任意數量的資金。而keeper的私鑰泄漏并非該事件根源。
動態 | 慢霧:10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示,過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊,手法包括但不限于:第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施,例如:1. 密切注意第三方 JS 鏈接風險;2. 提幣地址應為白名單地址,添加時設置雙因素校驗,用戶提幣時從白名單地址中選擇,后臺嚴格做好校驗。此外,也要多加注意內部后臺的權限控制,防止內部作案。[2019/11/1]
昨日,跨鏈互操作性協議PolyNetwork在以太坊、BSC與Polygon部署的智能合約同時遭到黑客攻擊,價值超過5.9億美元的USDC、ETH等資產被黑客轉移。該攻擊為DeFi迄今為止最嚴重的安全事故。
聲音 | 慢霧余弦:研究加密貨幣是出于技術熱愛:區塊鏈安全公司慢霧創始人余弦發微博稱,研究加密貨幣是出于技術熱愛,這些年其實研究了不少主流幣種還有些小幣種,多少都發現了些問題,其中有不少是安全問題。后來聯合創建了慢霧科技 ,致力于做好區塊鏈生態的安全。我提 MimbleWimble 的隱私與安全問題,不代表我不喜歡 Grin 和 BEAM,反而我在持續持有,就好像我很早就研究門羅幣、Zcash 的安全問題,我也在持續持有它們。有漏洞根本不是什么大問題,不改進不進化才是大問題。我盡量客觀做好安全技術研究,輸出的觀點千萬不要過度解讀,尤其不要解讀出“做多做空”,投資加密貨幣的討論,我一概不參與、不站臺、不背書。[2019/3/24]
Tags:IPTSCRSCHACROSSKripto koinWSCRTcumuluschainCROSSCHAIN價格
本文來自Web3基金會博客。Web3基金會今日在官方博客公布最新第10批Grant項目名單,共涉及28個項目,其中包括PhalaNetwork、MoonbeamNetwork等知名項目.
1900/1/1 0:00:00鏈捕手消息,世界500強公司、企業軟件服務提供商NCRCorporation宣布達成最終協議,以收購比特幣ATM運營商LibertyX,該交易預計將于今年晚些時候完成.
1900/1/1 0:00:00鏈捕手消息,跨鏈橋項目Chainswap宣布與另一跨鏈橋項目達成合作,以加快跨鏈解決方案的全行業研發進程,并使得ChainSwap能夠更輕松地從最近的漏洞攻擊事件中恢復.
1900/1/1 0:00:00鏈捕手消息,近期國家信息安全漏洞庫和區塊鏈漏洞子庫同時收錄了騰訊安全玄武實驗室提交的多個區塊鏈相關安全漏洞,其中多個被評級為“高危”漏洞.
1900/1/1 0:00:00鏈捕手消息,由Kyber孵化的一站式DeFi錢包工具Krystal宣布完成660萬美元融資,由Hashed領投.
1900/1/1 0:00:00原文標題:《了解Web3—用戶控制的互聯網》原文作者:EmreTekisalp 編譯:白澤研究院 這篇由3部分組成的文章重點介紹互聯網歷史上的最新章程—Web3的原因、內容和方式.
1900/1/1 0:00:00