链捕手消息,安全分析团队慢雾发布PolyNetwork被攻击事件的分析报告。慢雾认为,该攻击瞄准的潜在漏洞是EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。
慢雾:有用户遭钓鱼攻击,在OpenSea上架的NFT以极低匹配价格售出:据慢雾消息,有用户在 OpenSea 挂单售卖的 NFT 被恶意的以远低于挂单价匹配买。经慢雾安全团队分析,此是由于该受害用户遭受钓鱼攻击,错误的对攻击者精心构造的恶意订单进行签名,恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售 NFT 为受害用户在 OpenSea 上架的待出售 NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在 OpenSea 中进行匹配,并以攻击者指定的极低价格成交,导致受害用户的 NFT 以非预期的价格售出。[2021/12/11 7:31:47]
因此,攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper,替换keeper角色的地址后,攻击者可以随意构造交易,从合约中提取任意数量的资金。而keeper的私钥泄漏并非该事件根源。
分析 | 慢雾科技:钱包被注入恶意代码 可能是网站管理员没有维护好代码权限:针对“网页加密货币钱包Safuwallet被黑与币安服务器出现问题是否存在关联”一事,慢雾科技在接受金色财经采访时分析指出:“钱包被注入恶意代码,有可能是网站的管理员没有维护好代码的权限。导致网页代码被攻击者加入了恶意代码。恶意代码会窃取助记词、私钥等等的东西发送到攻击者自己的服务器上面,就像一个后门一样。类似的事件,以前也发生过不少,主要还是钱包的问题,从用户角度来看, 尽量不要用这种网页钱包。”[2019/10/12]
昨日,跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击,价值超过5.9亿美元的USDC、ETH等资产被黑客转移。该攻击为DeFi迄今为止最严重的安全事故。
动态 | 慢雾:9 月共发生 12 起较典型的安全事件,供应链攻击趋势愈发明显:过去的 9 月区块链生态共发生 12 起较典型的安全事件,包括:EOSPlay 遭受新型随机数攻击、资金盘项目 FairWin 智能合约权限管理缺陷、EOS 黑名单账号 craigspys211 利用新晋 BP 黑名单缺陷转移走 19.999 万枚 EOS 等典型安全事件。此外,慢雾区块链威胁情报(BTI)系统监测发现,针对区块链生态的供应链攻击越来越多,形如:去年 11 月慢雾披露的污染 NPM 模块 EventStream、今年 7 月披露的对数字货币钱包 Agama 构建链的攻击、今年 8 月披露的针对数字货币行情/导航站的 URL 劫持攻击,还有 9 月慢雾披露的针对交易所使用的第三方统计、客服 js 的恶意代码植入,进行实施盗币攻击。[2019/10/1]
标签:SCHACROSOSSSCHzoschainMirrored MicrosoftFOSS价格Schnoodle Finance
链捕手消息,此前从Uniswap财库获得100万枚UNI的DeFi教育组织DefiEducationFund在10小时之前通过售出50万枚UNI得到1020万USDC,以资助其工作.
1900/1/1 0:00:00本文来源于未央网,并经由刘斌编译。NourielRoubini,纽约大学斯特恩商学院经济学教授、全球宏观经济咨询公司鲁比尼宏观咨询有限责任公司的首席执行官.
1900/1/1 0:00:00NFT作为一种具备多属性描述能力的数字所有权凭证,可以很好地作为收藏品、现实资产、游戏道具等的通证化载体,这一点已由过去一年加密收藏品市场的狂热所证实.
1900/1/1 0:00:00本文来源于Neo。时机已至。2021年8月2日17:00:00,Neo?N3主网正式上线。 从Neo创始人张铮文在2018年7月首次公布了Neo3.0年版本的意向起,我们经历了漫长的旅程.
1900/1/1 0:00:00本文系链捕手原创文章,作者为RichardLee、布兰。近期,加密市场监管成为加密行业内外部最为关注的话题之一,以美国为代表的多个国家纷纷加大了对加密市场的监管力度.
1900/1/1 0:00:00来源:Chainalysis编译:链捕手自2009年比特币推出以来,加密货币推动了在金融基础设施方面的进步,并推动了如何在满足世界经济需求方面的创新思维.
1900/1/1 0:00:00
月亮链