6月29日,SolusExplorer開發團隊CryptoScope的一個程序員在回歸測試時,發現瀏覽器統計的RVN余額出了問題,在深入排查問題后,他確認主網出現了很多異常的RVN增發操作,隨后快速聯系Ravencoin官方團隊成員反饋了這個bug。
在與RVN開發團隊溝通后,CryptoScope決定暫時關閉SolusExplorer的部分入口,以降低其他攻擊者利用漏洞的可能性,為官方團隊解決問題贏得了一定時間。
7月3日,RVN團隊向社區發布了緊急更新,并最終于7月4日在1,304,352區塊上對Ravencoin網絡進行了程序修復。
7月8日,RVN官方解釋稱,本次漏洞是由于黑客提交的惡意PR引入的bug導致。
PeckShield:匿名黑客發行FTX 2.0 Token并包裝成FTX官方空投:1月20日消息,據PeckShield監測顯示,匿名黑客發行名為 FTX 2.0 Token 后將其轉至 FTX 交易平臺,并假裝為 FTX 地址添加流動性。此后,該黑客向 Justin Sun、KuCoin 和 Binance 地址進行空投,將其包裝為 FTX 官方空投的 Token。
派盾提示,該 Token 代碼中存在后門,可以隨意操控用戶錢包內的資產。[2023/1/20 11:23:21]
此次漏洞共導致RVN增發3.01億枚,相當于原有210億總供應量的1.44%,已有供應量的4.6%。
根據追蹤,大量增發的RVN被拆開發往不同的地址,并最終轉到了交易所,官方定位到了以下3個地址:
動態 | 黑客向美國時裝設計師發送勒索郵件 要求支付價值583美元的BTC:據TNW消息,美國時裝設計師Misha Nonoo經營的時裝公司成了黑客的目標。一名黑客向她發送了威脅郵件,聲稱可通過間諜軟件黑進客戶設備。黑客要求向其比特幣地址發送價值583美元的BTC,否則將會公布目前獲得的所有照片。Misha Nonoo據稱安排了哈里王子和其妻子Meghan Markle的第一次見面和相親。[2019/4/23]
RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK
RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8
RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs
動態 | 盜取Zaif虛擬貨幣的黑客IP地址被找到:據朝日新聞消息,加密貨幣交易所Zaif之前發生了約70億日元的加密貨幣被盜事件,黑客在匯款時連接到互聯網的IP地址已被白帽黑客鎖定。調查結果顯示,IP地址尚未被偽裝和匿名,這被認為是與罪犯有關的重要線索,已經提交給日本金融廳和警察廳。該地址是在歐洲的兩個服務器,如果警察當局繼續查詢,就有可能公開相關信息。[2018/11/5]
RVN團隊表示已經追蹤到其中一個黑客團隊的線索,并已經掌握攻擊者的信息,希望其將增發的RVN轉至特定的地址進行銷毀。RVN團隊稱已有總計約390萬枚增發的RVN被銷毀。
此外,官方團隊沒有通過類似ETH硬分叉的形式來解決攻擊,而是間接承認了這些增發幣的有效性。為了保證總供應量不變,官方給出的建議方案是降低未來挖礦總收益,不過這個方案還需要得到社區的認可,并最終通過鏈上BIP9升級后才能生效。
歐朋瀏覽器防挖礦再升級,移動版也能防黑客挖礦:歐朋瀏覽器防挖礦再升級,移動版也能防黑客挖礦。此前其桌面版已經引入了數字貨幣挖礦保護功能,目前已經支持智能手機防挖礦功能。[2018/1/22]
此次漏洞除了增加RVN的通脹率之外,不會影響用戶已有的RVN資產和轉賬。
RVN原有發行總量為210億,出塊時間為1分鐘,目前的區塊獎勵為5,000個RVN,每210萬個區塊后獎勵會減半,也就是約4年減半一次。根據官方目前給出的方案,每次減半將比之前提前59,580個區塊。
攻擊者行為復盤
1月16日,名為WindowsCryptoDev的開發人員在RavencoinGithub提交了一個PR,表面看起來是在完善節點返回的報錯信息,該PR很快就得到了Ravencoin官方人員的反饋,并合并進主分支。
PR詳情
原先的代碼,對于asset相關的交易,只要交易的RVNoutputvalue不是0,都會返回“bad-txns-asset-tx-amount-isn't-zero”報錯信息。
該PR針對不同的asset交易類型進行了報錯信息優化,表面看起來是為了方便開發者區分具體的報錯原因,但是黑客留了一個后門,即沒有針對TX_REISSUE_ASSET進行報錯信息優化。注意,這樣帶來的后果不僅僅是報錯信息不可分辨,而是將原本不合法的交易判斷為合法的交易,最終導致了RVN的增發。
1月17日,黑客在Ravencoin主網持續發布TX_ISSUE_ASSET交易,為后續的TX_REISSUE_ASSET攻擊提供基礎。
5月9日,黑客開始每隔2小時在Ravencoin主網發起一個TX_REISSUE_ASSET交易,增發500,000RVN到自己的地址,該行為一直持續到?7月3日,此時黑客察覺到官方已經準備對bug進行修復。
7月4日,主網上還出現了3筆新的攻擊交易,增發了兩筆1,000,000RVN和一筆2,804,398RVN,不過這3筆攻擊交易應該都不是之前的黑客所為。
從SolusExplorer統計來看,最終總增發量為301,804,400RVN,也就是超過3.01億RVN。
安全提示
雖然此次漏洞只影響了Ravencoin網絡,但是還有很多其它區塊鏈系統也遇到過類似的安全問題。例如Bitcoin曾經在2018年被爆出過類似嚴重的安全漏洞,攻擊窗口從2017年10月持續到2018年8月,同時影響了所有2017年10月之后基于Bitcoin代碼開發的新幣種。不過當時的bug并不是黑客惡意引入,而是開發人員的錯誤導致,值得慶幸的是,該bug在被開發人員修復之前沒有被任何黑客利用。
對于區塊鏈開源項目來說,代碼貢獻者的技術能力、貢獻動機等因素都存在諸多不確定性,因此在代碼review上需要核心開發團隊把好關。
來源:財聯社 財聯社記者獨家獲悉,近日央行下發推動區塊鏈技術規范應用的通知》及《區塊鏈技術金融應用評估規則》.
1900/1/1 0:00:00據比推數據,在剛剛增發了1.2億美元之后,最為流行的穩定幣Tether的市值已經突破100億美元大關.
1900/1/1 0:00:00據NewsbBTC7月20日報道,比特幣的價格在過去幾個月一直處于停滯狀態,但這并沒有阻止機構投入大量資金購買這一數字資產.
1900/1/1 0:00:00作者:Larry,黃連金近幾年,區塊鏈技術的發展非常迅猛,安全形勢也越來越嚴峻,僅安全事件導致的直接經濟損失就高達幾十億美元,給行業帶來了巨大的經濟損失和慘痛的教訓.
1900/1/1 0:00:00*本文轉載自《國際金融雜志》,原作者:◎郭為民?朱大磊?奚士佳?吳朋澔 摘要 業界普遍認為,區塊鏈可以有效提升供應鏈管理的效率以及信息交互的真實性和有效性,在供應鏈領域具有非常廣闊的應用前景.
1900/1/1 0:00:00要點: 斯里蘭卡中央銀行已開始為基于區塊鏈的共享KYC系統開發概念證明該區塊鏈系統旨在改善亞洲國家的數字金融包容性 斯里蘭卡總理官方網站遭黑客入侵,被重定向至有關比特幣的網站:6月2日.
1900/1/1 0:00:00