買以太坊 買以太坊
Ctrl+D 買以太坊
ads

COIN:慢霧分析 xToken 被黑:兩個被黑合約分別遭到假幣攻擊和預言機操作攻擊_TCO

Author:

Time:1900/1/1 0:00:00

鏈聞消息,據慢霧區,針對DeFi項目xToken遭受攻擊損失近2500萬美元一事,慢霧安全團隊分析稱,本次被黑的兩個模塊分別是xToken中的xBNTa合約和xSNXa合約,兩個合約分別遭受了「假幣」攻擊和預言機操控攻擊。具體分析如下:一、xBNTa合約攻擊分析:1.xBNTa合約存在一個mint函數,允許用戶使用ETH兌換BNT,使用的是BancorNetowrk進行兌換,并根據BancorNetwork返回的兌換數量進行鑄幣。2.在mint函數中存在一個path變量,用于在BancorNetwork中進行ETH到BNT的兌換,但是path這個值是用戶傳入并可以操控的3.攻擊者傳入一個偽造的path,使xBNTa合約使用攻擊者傳入的path來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用ETH/BNT交易對進行兌換的限制,進而達到任意鑄幣的目的。二、xSNXa合約攻擊分析:1.xSNXa合約存在一個mint函數,允許用戶使用ETH兌換xSNX,使用的是KyberNetwork的聚合器進行兌換。2.攻擊者可以通過閃電貸Uniswap中ETH/SNX交易對的價格進行操控,擾亂SNX/ETH交易對的報價,進而擾亂KyberNetwork的報價。從而影響xSNXa合約的價格獲取3.攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。

慢霧:Distrust發現嚴重漏洞,影響使用Libbitcoin Explorer3.x版本的加密錢包:金色財經報道,據慢霧區消息,Distrust 發現了一個嚴重的漏洞,影響了使用 Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解 Mersenne Twister 偽隨機數生成器(PRNG)來訪問錢包的私鑰,目前已在現實世界中造成了實際影響。

漏洞詳情:該漏洞源于 Libbitcoin Explorer 3.x 版本中的偽隨機數生成器(PRNG)實現。該實現使用了 Mersenne Twister 算法,并且僅使用了 32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。

影響范圍:該漏洞影響了所有使用 Libbitcoin Explorer 3.x 版本生成錢包的用戶,以及使用 libbitcoin-system 3.6 開發庫的應用。

已知受影響的加密貨幣包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

風險評估:由于該漏洞的存在,攻擊者可以訪問并控制用戶的錢包,從而竊取其中的資金。截至 2023 年 8 月,已有超過 $900,000 美元的加密貨幣資產被盜。

解決方案:我們強烈建議所有使用 Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包,并將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。[2023/8/10 16:18:20]

慢霧:CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息,慢霧發推稱,CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示,TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX,而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]

BKEX入駐慢霧區,發布安全漏洞與威脅情報賞金計劃:據官方消息,為了進一步保障用戶資產安全,提高平臺安全風控等級,BKEX 入駐慢霧區,發布“安全漏洞與威脅情報賞金計劃”,嚴重漏洞最高獎勵10,000USDT.本次漏洞賞金主要針對BKEX網站及APP。[2020/8/12]

Tags:OINCOINCOITCOkucoin交易所注冊網址FlowcoinBCOIN幣TCORE

Gate交易所
GAT:Gate.io 博客隆重上線——投資人的必備秘籍_gate.io怎么賣幣

為了全面助力用戶進行投資,Gate.io今日已隆重上線博客功能。作為Gate.io的全新資訊板塊,Gate.io博客功能將為用戶提供全方位的投資支持,帶來最及時的行業資訊、有料的專欄內容、獨家的.

1900/1/1 0:00:00
HTT:XT關于CSPR解鎖時間說明的公告(2021/5/13)_TPS

尊敬的XT用戶: CSPR主網現已上線,參與平臺認購用戶鎖倉資產將于2021年6月29日起每周二15:00按照1/13的方式進行釋放,用戶可關注賬戶資產變化。如有問題,請及時聯系在線客服.

1900/1/1 0:00:00
OFF:通過此培訓,以低于40美元的價格成為Microsoft Office專家_justice幣最新消息

通過使用Typesy可以教MicrosoftOffice培訓,用戶可以掌握有關使用Word,Excel,PowerPoint以及該功能強大的應用程序包中所有驚人功能的內在知識.

1900/1/1 0:00:00
HBT:BHEX即將上線SAFEMOON/USDT、PIG/USDT交易對_BABYPIG幣

尊敬的社區用戶: BHEX將于2021年5月12日14:00(UTC8)上線SAFEMOON/USDT、PIG/USDT交易對.

1900/1/1 0:00:00
BOR:關于WBF即將上線MPS的公告_chess幣能到100嗎

尊敬的用戶: WBF即將在開放區上線MPS/USDT交易對,具體上線時間如下:交易時間:2021年5月20日16:00?項目介紹:MPS具有與TRON協議兼容、可定制、低成本、高安全性等特性.

1900/1/1 0:00:00
THE:老崔說幣:十面埋伏,比特幣恐遭洗盤!_比特幣手機錢包

大家好,我是來自CKcoin平臺首席分析師老崔說幣,也是你們的朋友老崔說幣lcsb18888,老崔說幣公眾號同步專注數字貨幣行情分析,爭取為廣大幣友傳遞最有價值的幣市信息.

1900/1/1 0:00:00
ads