6月29日,SolusExplorer开发团队CryptoScope的一个程序员在回归测试时,发现浏览器统计的RVN余额出了问题,在深入排查问题后,他确认主网出现了很多异常的RVN增发操作,随后快速联系Ravencoin官方团队成员反馈了这个bug。
在与RVN开发团队沟通后,CryptoScope决定暂时关闭SolusExplorer的部分入口,以降低其他攻击者利用漏洞的可能性,为官方团队解决问题赢得了一定时间。
7月3日,RVN团队向社区发布了紧急更新,并最终于7月4日在1,304,352区块上对Ravencoin网络进行了程序修复。
7月8日,RVN官方解释称,本次漏洞是由于黑客提交的恶意PR引入的bug导致。
黑客组织Anonymous否认制作了反马斯克视频:金色财经报道,黑客组织Anonymous否认他们参与制作了一段视频,该视频谴责埃隆马斯克参与影响加密市场。Anonymous声称该视频是由一个山寨组织制作的。据悉,视频声称马斯克通过操纵加密货币市场“摧毁了生命”。[2021/6/8 23:19:37]
此次漏洞共导致RVN增发3.01亿枚,相当于原有210亿总供应量的1.44%,已有供应量的4.6%。
根据追踪,大量增发的RVN被拆开发往不同的地址,并最终转到了交易所,官方定位到了以下3个地址:
RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK
RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8
美国政府要求EtherDelta黑客事件受害者提供信息:金色财经报道,美国总检察长和特勤局已经要求2017年EtherDelta黑客事件的受害者提供信息。据悉,美国加利福尼亚州北区检察官办公室在2019年8月就黑客攻击事件起诉了Elliot Gunton和Anthony Tyler Nashatka。两人涉嫌修改了EtherDelta交易所的域名系统,以将用户重定向到类似于真实平台的假网站。[2021/5/22 22:30:55]
RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs
RVN团队表示已经追踪到其中一个黑客团队的线索,并已经掌握攻击者的信息,希望其将增发的RVN转至特定的地址进行销毁。RVN团队称已有总计约390万枚增发的RVN被销毁。
动态 | 纽约黑客入侵75部手机获得100万美元加密资产:据Bitcoinist今日报道,美国纽约的19岁黑客Yousef Selassie通过窃取身份入侵了75个人的智能手机,获得了价值100万美元的加密资产。据悉,他是通过SIM交换技术,重置受害者的电子邮件密码和加密货币账户进行盗窃。[2019/12/19]
此外,官方团队没有通过类似ETH硬分叉的形式来解决攻击,而是间接承认了这些增发币的有效性。为了保证总供应量不变,官方给出的建议方案是降低未来挖矿总收益,不过这个方案还需要得到社区的认可,并最终通过链上BIP9升级后才能生效。
此次漏洞除了增加RVN的通胀率之外,不会影响用户已有的RVN资产和转账。
RVN原有发行总量为210亿,出块时间为1分钟,目前的区块奖励为5,000个RVN,每210万个区块后奖励会减半,也就是约4年减半一次。根据官方目前给出的方案,每次减半将比之前提前59,580个区块。
分析 | 2月仅发生6起黑客攻击事件但209万EOS偷跑引行业巨震:据PeckShield态势感知平台03月01日数据显示,过去一个月,EOS公链共计发生6起竞猜类游戏遭黑客攻击事件,开发者共计损失28,841.17个EOS。较之上月,2月份发生的黑客攻击事件明显变少,其中竞猜类游戏EOSPlaystation因假转账通知问题,一次损失了17,386个EOS,111alpha1111黑客团伙作案2次共计获利8,546个EOS。就DApp安全现状而言,DAppShield安全盾风控平台监测中的黑名单账户活跃度明显降低,包括新增攻击合约部署和异常获利等等,这和竞猜类DApp整体活跃度及流水下滑有直接关系。需要重点关注的是,2月份发生了曾被ECAF冻结的gm3dcnqgenes账户携209万EOS偷跑事件,截止目前,黑客已经向交易所转入了39.94万个EOS,价值近千万元。该事件暴露出EOS超级节点黑名单管控,赃款流进交易所应急响应等一系列社区治理低效问题,引发行业广泛讨论。[2019/3/1]
攻击者行为复盘
1月16日,名为WindowsCryptoDev的开发人员在RavencoinGithub提交了一个PR,表面看起来是在完善节点返回的报错信息,该PR很快就得到了Ravencoin官方人员的反馈,并合并进主分支。
PR详情
原先的代码,对于asset相关的交易,只要交易的RVNoutputvalue不是0,都会返回“bad-txns-asset-tx-amount-isn't-zero”报错信息。
该PR针对不同的asset交易类型进行了报错信息优化,表面看起来是为了方便开发者区分具体的报错原因,但是黑客留了一个后门,即没有针对TX_REISSUE_ASSET进行报错信息优化。注意,这样带来的后果不仅仅是报错信息不可分辨,而是将原本不合法的交易判断为合法的交易,最终导致了RVN的增发。
1月17日,黑客在Ravencoin主网持续发布TX_ISSUE_ASSET交易,为后续的TX_REISSUE_ASSET攻击提供基础。
5月9日,黑客开始每隔2小时在Ravencoin主网发起一个TX_REISSUE_ASSET交易,增发500,000RVN到自己的地址,该行为一直持续到?7月3日,此时黑客察觉到官方已经准备对bug进行修复。
7月4日,主网上还出现了3笔新的攻击交易,增发了两笔1,000,000RVN和一笔2,804,398RVN,不过这3笔攻击交易应该都不是之前的黑客所为。
从SolusExplorer统计来看,最终总增发量为301,804,400RVN,也就是超过3.01亿RVN。
安全提示
虽然此次漏洞只影响了Ravencoin网络,但是还有很多其它区块链系统也遇到过类似的安全问题。例如Bitcoin曾经在2018年被爆出过类似严重的安全漏洞,攻击窗口从2017年10月持续到2018年8月,同时影响了所有2017年10月之后基于Bitcoin代码开发的新币种。不过当时的bug并不是黑客恶意引入,而是开发人员的错误导致,值得庆幸的是,该bug在被开发人员修复之前没有被任何黑客利用。
对于区块链开源项目来说,代码贡献者的技术能力、贡献动机等因素都存在诸多不确定性,因此在代码review上需要核心开发团队把好关。
7月16日消息,基于以太坊的Defi借贷协议Aave已通过代币销售的方式,获得FrameworkVentures和ThreeArrowsCapital这两家投资基金的300万美元融资.
1900/1/1 0:00:00彭博社的一篇文章声称,美国人正在购买诸如股票、黄金和比特币等投机性资产,目前这些资产已超越美元的安全性。高储蓄率,低收益由于新冠肺炎的封锁,美国的个人储蓄率达到了历史最高水平.
1900/1/1 0:00:00作者:OKEx内容策划组?焦国锋、胡雅璐行情概览根据CoinGecko数据,截至2020年7月17日11时,加密货币市场总市值2748亿美元,总市值7日跌幅2.3%.
1900/1/1 0:00:00文章来源:哈希派作者:LucyCheng一、总览从今年二月份开始,稳定币市场规模呈现出爆发式增长趋势;在过去四个月时间里,以USDT为首的主要稳定币项目都有不同程度的疯狂增发现象.
1900/1/1 0:00:00最近,以太坊矿工很兴奋,不仅仅是因为赚钱了,还因为被边缘化太久了,这下终于可以在比特币矿工面前挺直腰板,“扬眉吐气”了!有以太坊矿工开玩笑说:一天一辆陆虎,心情美美的.
1900/1/1 0:00:00本文来源:金融时报,原题《16省市推出相关应用区块链抗疫崭露头角》作者:胡萍7月21日,中国人民银行上海总部公示了上海金融科技创新监管试点应用。在首批8个应用中,有7个采用了区块链技术.
1900/1/1 0:00:00