買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > Luna > Info

慢霧:大部分錢包仍支持存在盲簽欺詐風險的eth_sign簽名功能

Author:

Time:1900/1/1 0:00:00

慢霧安全團隊表示,在加密貨幣NFT板塊,越來越多的釣魚網站濫用eth_sign簽名功能來進行盲簽欺詐,提醒或禁用這種低級的簽名方法對于保護用戶安全至關重要,不少Web3錢包已經采取相關措施來對這種危險的簽名方法進行安全提示和限制。但仍有一大部分加密錢包支持eth_sign,其中少部分錢包提供eth_sign安全風險警告。

慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

根據慢霧對20個熱門加密貨幣錢包應用程序在GooglePlay上的測試,發現4個加密錢包App選擇禁用對eth_sign支持。16個加密錢包App支持eth_sign。其中,4個加密錢包擴展提供eth_sign安全警告,其他12個沒有提供安全警告。此外,根據慢霧對ChromeWebStore中20個加密錢包Chrome擴展的測試,發現5個加密錢包擴展選擇禁用了對eth_sign支持。15個加密錢包擴展支持eth_sign。其中,6個加密錢包擴展提供了eth_sign安全警告,其他9個沒有提供安全警告。

慢霧:Badger DAO黑客已通過renBTC將約1125 BTC跨鏈轉移到10 個BTC地址:12月2日消息,Badger DAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。據慢霧MistTrack分析,截止目前黑客已將獲利的加密貨幣換成 renBTC,并通過renBTC 將約 1125 BTC 跨鏈轉移到 10 個 BTC 地址。慢霧 MistTrack 將持續監控被盜資金的轉移。[2021/12/2 12:46:11]

慢霧稱,如果用戶仍想要使用eth_sign,他們可以選擇支持該功能的加密錢包。但是,用戶在使用這些錢包時需要特別注意安全警告,以確保其交易的安全性。

動態 | 慢霧:9 月共發生 12 起較典型的安全事件,供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件,包括:EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外,慢霧區塊鏈威脅情報(BTI)系統監測發現,針對區塊鏈生態的供應鏈攻擊越來越多,形如:去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊,還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入,進行實施盜幣攻擊。[2019/10/1]

Tags:BTCETHSIGWBTBTC是啥縮寫ethylideneInsight AIWBTC

Luna
CORE:前以太坊礦商CoreWeave完成2.21億美元B輪融資,Magnetar Capital領投_ORE

據TechCrunch報道,正在從以太坊礦企過渡到通用云計算平臺的公司CoreWeave宣布完成2.21億美元B輪融資,MagnetarCapital領投.

1900/1/1 0:00:00
TAL:V神:不要讓以太坊共識過載,否則會給生態系統帶來高風險_polydoge幣初始價格

以太坊聯合創始人V神刊文《不要讓以太坊共識過載》。V神在文章中表示,多年來開發人員/項目有許多將以太坊共識用于其他目的的想法,如終極預言機、再質押、L1驅動的L2項目恢復,文章解釋了為什么其認為.

1900/1/1 0:00:00
虛擬資產:香港證監會:持牌虛擬資產交易平臺向零售投資者提供交易服務前應遵從一系列保障措施_使用虛擬資產什么意思

根據香港證監會發布的咨詢總結文件,針對允許零售投資者使用持牌虛擬資產交易平臺,證監會回應稱,本會注意到,回應者對允許持牌虛擬資產交易平臺向零售投資者提供服務表示大力支持.

1900/1/1 0:00:00
ROR:Auradine完成8100萬美元的A輪融資,Celesta Capital和Mayfield領投_NEAR

據CoinDesk報道,總部位于硅谷的專注于隱私的區塊鏈和人工智能初創公司Auradine宣布完成了8100萬美元的A輪融資.

1900/1/1 0:00:00
RIT:ParaSpace舊官推:希望通過談判推進多重簽名轉移至社區選舉的簽署人_Polaris

NFT借貸協議ParaSpace舊官推今日早間表示:“為了遵守我們對透明度的承諾,在與Zeneca溝通后.

1900/1/1 0:00:00
IME:外媒:聯合國網絡犯罪條約或導致對全球加密貨幣的全面監控_SpaceGrime

據CoinDesk報道,周二,聯合國啟動了關于網絡犯罪的新國際條約的倒數第二輪談判。最新草案版本如果被采納,將對加密貨幣施加全面的監控要求,并威脅全球的金融隱私.

1900/1/1 0:00:00
ads