以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

慢霧:Electrum“更新釣魚”盜幣攻擊補充預警_REWARD

Author:

Time:1900/1/1 0:00:00

Electrum是全球知名的比特幣輕錢包,支持多簽,歷史悠久,具有非常廣泛的用戶群體,許多用戶喜歡用Electrum做比特幣甚至USDT的冷錢包或多簽錢包。基于這種使用場景,Electrum在用戶電腦上使用頻率會比較低。Electrum當前最新版本是3.3.8,而已知的3.3.4之前的版本都存在“消息缺陷”,這個缺陷允許攻擊者通過惡意的ElectrumX服務器發送“更新提示”。這個“更新提示”對于用戶來說非常具有迷惑性,如果按提示下載所謂的新版本Electrum,就可能中招。據用戶反饋,因為這種攻擊,被盜的比特幣在四位數以上。本次捕獲的盜幣攻擊不是盜取私鑰,而是在用戶發起轉賬時,替換了轉賬目標地址。在此我們提醒用戶,轉賬時,需要特別注意目標地址是否被替換,這是近期非常流行的盜幣方式。并建議用戶使用Ledger等硬件錢包,如果搭配Electrum,雖然私鑰不會有什么安全問題,但同樣需要警惕目標地址被替換的情況。

慢霧:Quixotic黑客盜取約22萬枚OP,跨鏈至BNB Chain后轉入Tornado Cash:7月1日消息,據慢霧分析,Quixotic黑客盜取了大約22萬枚OP(約11.9萬美元),然后將其兌換成USDC并跨鏈到BNB Chain,之后將其兌換成BNB并轉入Tornado Cash。[2022/7/1 1:44:55]

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

慢霧:Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日,慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;

5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;

6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;

7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;

8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]

Tags:REWARDWARREWARDSRUMRewards BunnyBoba Fett WarXActRewardsInstrumental Finance

火幣下載
重啟關于調整FMex收入分配規則提案的公投公告_FMEX

親愛的社區用戶: 自暫停關于調整FMex收入分配規則提案的公投后,我們多次組織FMex社區及FT社區用戶進行了意見交換,經討論已達成雙方社區共識.

1900/1/1 0:00:00
陶治庸:BTC暴跌多單被套怎么辦,短線操作反彈修復必定空!_YTN

BTC行情分析: 1小時圖來看,走勢暴跌下探8520一線止跌,目前小時布林帶開口較大,走勢較平緩,5日和10日均線交叉向下運行,附圖指標上,MACD呈死叉向下持續放量,MACD修復頂背離走勢.

1900/1/1 0:00:00
【辟謠】網傳D網技術人員感染新型冠狀病系謠言_FIN

親愛的用戶: 近日,網傳“D網技術人員感染新型冠狀病而暫停充提幣服務”為謠言,請廣大用戶切勿信謠傳謠.

1900/1/1 0:00:00
Bithumb Global開啟BNP交易 / 2020.1.20_BIT

親愛的BithumbGlobal用戶:BithumbGlobal將在創新板上線BNP數字資產服務.

1900/1/1 0:00:00
2020年IPFS/Filecoin鼠年大禮,你的FIL幣紅包已到賬!_FIL

新春來臨之際,恰逢Filecoin主網即將上線,原力區為大家準備了新春大禮——ForcePool以紅包形式向ForcePool用戶發放專屬的FIL紅包.

1900/1/1 0:00:00
比特幣震蕩繼續,等待回測天圖15EMA均線!_比特幣

比特幣四小時 自從比特幣跌破了四小時綠色上升趨勢線之后,短期上漲趨勢被打破,也就代表著多頭暫緩,需要更多的調整震蕩來為新的趨勢做鋪墊.

1900/1/1 0:00:00
ads