链捕手消息,慢雾今日发布对Solana攻击事件的分析中指出,初步筛查出30%用户被盗原因为SlopeWallet(Android,Version:2.2.2)的sentry服务存在私钥泄露。60%被盗用户使用的是Phantom钱包,其被盗原因暂未查明。慢雾表示,如果你有任何的思路欢迎一起讨论,希望能一起为Solana生态略尽绵薄之力。以下是具体疑问点:
慢雾:Grafana存在账户被接管和认证绕过漏洞:金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。[2023/6/25 21:58:31]
1.Sentry的服务收集用户钱包助记词的行为是否属于普遍的安全问题?
慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]
2.Phantom使用了Sentry,那么Phantom钱包会受到影响吗?
分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]
3.另外60%被盗用户被黑的原因是什么呢?
4.Sentry作为一个使用非常广泛的服务,会不会是Sentry官方遭遇了入侵?从而导致了定向入侵虚拟货币生态的攻击?
链捕手消息,8月10日,CelsiusNetwork首席执行官AlexMashinsky链上地址于上周六和周二在去中心化交易平台UniSwap上的多笔交易中以17475枚CEL交换了价值2824.
1900/1/1 0:00:00作者:Cookie,律动BlockBeats再过不到2个月,Premint就要迎来自己的一周年。不到一年的时间里,累计超过250万个钱包地址在Premint上活跃,总抽奖参与数超过2000万.
1900/1/1 0:00:00链捕手消息,L2扩容方案BobaNetwork宣布2022年至2023年工程路线图。在2022年,计划实施veTokenomics,推出veBoba,允许代币的持有者将能够“投票托管”锁定代币,
1900/1/1 0:00:00原标题:《UsingCryptotoBuildReal-WorldInfrastructure》原作者:SamiKassab,Messari编译:饼干.
1900/1/1 0:00:00撰文:FrameworkVentures编译:派蒙,ForesightNewsFramework一直将促进加密货币行业发展作为各方面业务发展的重心.
1900/1/1 0:00:00作者:茉莉,蜂巢Tech自NFT以社交网络头像、数字藏品等形态进入消费市场后,娱乐圈、体育圈的名人也开始为各种NFT代言,甚至有名人参与到一些NFT项目的发行制作中.
1900/1/1 0:00:00