鏈聞消息,針對跨鏈互操作協議PolyNetwork被黑客攻擊的事件,慢霧安全團隊分析稱是由于跨鏈合約keeper被修改為黑客制定地址,從而使黑客可以隨意構造交易從合約中取出任意數量的資金,具體如下:1.本次攻擊的核心在于EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。2.由于EthCrossChainData合約的owner為EthCrossChainManager合約,因此EthCrossChainManager合約可以通過調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數修改合約的keeper。3.其中EthCrossChainManager合約的verifyHeaderAndExecuteTx函數是可以通過內部調用_executeCrossChainTx函數執行用戶指定的跨鏈交易,所以攻擊者只需要通過verifyHeaderAndExecuteTx函數傳入精心構造的數據來使_executeCrossChainTx函數執行調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數以改變keeper角色為攻擊者指定的地址。4.替換完成keeper角色地址后,攻擊者即可隨意構造交易從合約中取出任意數量的資金了。
慢霧科技合伙人啟富:區塊鏈技術驅動的數字貨幣有很強的共識 未來應用場景很大:金色財經現場報道,9月20日,由金色財經主辦,水橋區塊鏈總冠名的“共為·創業者大會”在廈門舉辦。在主題為《區塊鏈如何推動數字經濟時代的發展》的圓桌對話環節,慢霧科技合伙人啟富表示,區塊鏈技術從誕生起就有財富再分配的功能。大家對區塊鏈的認知可能比較多在早期,大家對超主權或者非主權的貨幣的共識,使大家認為加密貨幣有很多使用場景。雖然目前加密貨幣的應用場景還不是很多,但是整個趨勢是非常明顯的,未來它會有更好的發展空間,尤其在泡沫或者通貨膨脹的時候有很好的優勢。[2020/9/20]
聲音 | 慢霧余弦:區塊鏈安全漏洞引起的財產損失未來將進一步擴大:據算力智庫微信公眾號文章,公開資料數據顯示,2011-2019年之間,由區塊鏈安全漏洞引起的損失高達84億美元。其中,交易所是重災區,占比近一半。對此,慢霧余弦表示,一方面,交易所的門檻比以往低了很多,而安全防護水平又層次不齊,對于地下黑客來說那就是滿地黃金。此外,這一數據的背后體現了了人們對加密貨幣市場,對區塊鏈的認同。基于這個共識,行業規模擴大,錯誤也隨之放大。未來這一數據增幅還將繼續擴大。對于中心化的交易所而言,會受到傳統行業的攻擊,如服務器、辦公網等,也和公鏈、智能合約有關。每一環都有可能存在的安全問題。他建議把IT建設的預算中拿出15%-20%作為安全預算,其中包括人員的成本維護,殺軟件,防火墻的購置等。但是這并不代表你配置了這些就一定不會被黑。拋開攻防博弈成本去看待這個問題是不客觀的。你每投入一定的比例,那攻擊門檻則相對提高了一個臺階。相對來說你被黑的概率會低很多,但我們這個行業沒有人可以給出這樣的一個永不被黑的承諾。[2019/10/30]
聲音 | 慢霧預警:攻擊者開啟狩獵攻擊模式:針對近期 EOSABC 連續三次被成功攻擊的細節剖析來看,前兩次是我們多次預警的交易排擠攻擊,但今天凌晨的第三次并非交易排擠攻擊,交易排擠只是障眼法,而真正達到攻擊目的的是交易回滾攻擊(開獎>被攻擊者拒絕>繼續開獎,直到滿足獲勝條件,攻擊者不再拒絕)。通過我們的分析及和項目方的對稱,攻擊者是同一撥人,攻擊手法也在根據項目的更新情況變化。通過對過往的情報關聯分析,攻擊者已經開啟了狩獵攻擊模式,從攻擊前的踩點分析到攻擊中的具體方法再到攻擊后的洗錢操作,且攻擊者對我們的情報披露及相關防御策略的關注也很及時。
我們呼吁 EOS DApp 項目方在 DApp 上線前做好足夠的安全審計及風控策略,并及時關注來自安全公司的威脅情報同步。同時,我們呼吁攻擊者停止繼續攻擊并歸還攻擊所得,我們將聯合相關交易平臺及執法部門采取進一步措施。攻擊者在 EOS 上的相關賬號如下:loveforlover、wangshaoyong、zhangyanjing、floatingsnow、dolastattack、doespaperock、sunshinesnow、norealrandom、welcomerobin、whateverbeen、winsonknight、nodispromise 等數十個關聯賬號。[2019/1/30]
Tags:CROSSCHAINSSCCROSSOSSCROSSCHAIN幣guesscoinCROSS價格CrossFi
美國萬通人壽保險公司通過與紐約數字投資集團的進一步合作,加大了對比特幣的投入,雙方的目標是讓這家保險巨頭的機構客戶獲得BTC敞口.
1900/1/1 0:00:00ACW平臺通證計劃于8月20號基于TRC波場鏈、ERC以太坊等鏈上發行上線,ACW并將開源地址及每月黑洞銷毀地址對全球公開透明信息,屆時將支持鏈上查詢.
1900/1/1 0:00:00尊敬的Bibox用戶:BiboxDeFi創新區將于2021年8月13日(UTC8)上線MakiSwap(MAKI).
1900/1/1 0:00:00“想象一下,當ETH成為全球通用貨幣。你試圖在一個拍賣平臺上以50美元的價格購買DuaLipa的復出巡演NFT門票。一個機器人看到了你的交易,并以同樣的價格搶先購買了它.
1900/1/1 0:00:00親愛的Pool-X用戶:Pool-X已完成2021年07月30日上線的HYDRA第二輪持倉競賽活動獎勵發放!請獲獎者登陸Pool-X賬戶查收獎勵.
1900/1/1 0:00:00關于上線GDP的公告 尊敬的用戶: DiBiGlobal交易平臺將于2021年8月16日10:00在幣幣交易正式開啟GDP/USDT交易,同時開放提現服務.
1900/1/1 0:00:00