月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 非小号 > 正文

OIN:慢雾:DAO Maker 的 Vesting 合约遭到黑客攻击简析_Coin Guardian

作者:

时间:1900/1/1 0:00:00

链捕手消息,据慢雾区情报,DAOMaker的Vesting合约遭到黑客攻击。DeRaceToken(DERC),Coinspaid(CPD),CapsuleCoin(CAPS),ShowcaseToken(SHO)都使用了DaoMaker的分发系统,在DAOMaker中进行持有者发行时因DAOMaker合约被攻击,即SHO参与者的分发系统中出现了一个漏洞:init未初始化保护,攻击者初始化了init的关键参数,同时变更了owner,然后通过emergencyExit将目标代币盗走,并兑换成了DAI,攻击者最终获利近400万美金。

慢雾:Distrust发现严重漏洞,影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道,据慢雾区消息,Distrust 发现了一个严重的漏洞,影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器(PRNG)来访问钱包的私钥,目前已在现实世界中造成了实际影响。

漏洞详情:该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器(PRNG)实现。该实现使用了 Mersenne Twister 算法,并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。

影响范围:该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户,以及使用 libbitcoin-system 3.6 开发库的应用。

已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

风险评估:由于该漏洞的存在,攻击者可以访问并控制用户的钱包,从而窃取其中的资金。截至 2023 年 8 月,已有超过 $900,000 美元的加密货币资产被盗。

解决方案:我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包,并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]

黑客利用Vesting合约中的漏洞,将Vesting合约中的代币提走,如下是简要分析:

慢雾:共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息,慢雾首席信息安全官23pds发推表示,针对共享Apple ID导致资产被盗现象,核心问题是应用没有和设备码绑定,目前99%的钱包、交易App等都都存在此类问题,没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行,攻击者在配合其他手法如社工、爆破等获取的密码,导致资产被盗。23pds提醒用户不要使用共享Apple ID等,同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

对Vesting合约的实现合约0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2进行反编译得到如下信息:

慢雾:Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到,Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX,并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外,Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]

1.Vesting合约中的init函数(函数签名:0x84304ad7),没有对调用者进行鉴权,黑客通过执行init函数成为Vesting合约的Owner。2.Owner可以执行Vesting合约中的emergencyExit函数,进行紧急提款。

相关合约地址:

Vesting代理合约:0x2fd602ed1f8cb6deaba9bedd560ffe772eb859400xdd571023d95ff6ce5716bf112ccb752e86212167

Vesting实现合约:0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2

黑客地址:0x2708cace7b42302af26f1ab896111d87faeff92f------------------------------------------利用同样的手法其攻击其他Vesting合约,转移如下代币:DeRaceToken(DERC):0x9fa69536d1cda4a04cfb50688294de75b505a9aeCoinspaid(CPD):0x9b31bb425d8263fa1b8b9d090b83cf0c31665355CapsuleCoin(CAPS):0x03be5c903c727ee2c8c4e9bc0acc860cca4715e2ShowcaseToken(SHO):0xcc0014ccb39f6e86b1be0f17859a783b6722722f

标签:OINCOINCOIVESCoin GuardianDBZ CoinSuper Star Coin下轮牛市waves币预测涨多少

非小号热门资讯
BNB:慢雾:简析Punk Protocol 被黑过程_WBNB

链捕手消息,去中心化年金协议PunkProtocol在公平启动的过程中遭遇攻击,损失约400万美元.

1900/1/1 0:00:00
ETF:捷足先登的比特币期货 ETF,究竟和现货 ETF 有什么区别?_USD

撰文:IanWu,来自Jsquare研究院近期行情可谓跌宕起伏,二级市场自5月中下旬的大幅度调整后,近期又独立于美股行情,逼近历史新高.

1900/1/1 0:00:00
SOL:那个神秘的高频交易巨头创立了 Jump Crypto,他们究竟要做什么?_solana币下半年

撰文:KanavKariya,JumpCrypto负责人编译:PerryWang,链闻我们非常兴奋地推出JumpCrypto,这是JumpTradingGroup历经6年打造的一个项目.

1900/1/1 0:00:00
ROY:Pantera 合伙人:一文读懂音乐代币化平台 Royal_ROYA

撰文:PaulVeradittakit,PanteraCapital创始合伙人翻译:卢江飞,链闻音乐产业每年赚取收入高达400亿美元,但其中只有12%实际支付给了艺术家.

1900/1/1 0:00:00
COIN:Coinbase将向BTC、ETH、PoS资产和DeFi代币投资至少5亿美元_NBA

链捕手消息,据Coinbase官方博客披露,其资产负债表中将持有的多元化加密资产组合包括比特币、以太坊、权益证明资产、DeFi代币和其他在其平台上交易的加密资产,也是第一家这么做的上市公司.

1900/1/1 0:00:00
NFT:OpenSea上仿盘和项目横行,是meme兴起还是投机泛滥?_AirNFTs

作者:王佳健来源:巴比特NFT的热度已经炸了。23日,Visa宣布以15万美元购入一枚CryptoPunk,由此引发抢购热潮,23日CryptoPunks成交额27821ETH,约合9222万美.

1900/1/1 0:00:00