買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > TRX > Info

OIN:黑客代碼導致 3 億增發——RVN 漏洞事件全回顧_COIN

Author:

Time:1900/1/1 0:00:00

6月29日,SolusExplorer開發團隊CryptoScope的一個程序員在回歸測試時,發現瀏覽器統計的RVN余額出了問題,在深入排查問題后,他確認主網出現了很多異常的RVN增發操作,隨后快速聯系Ravencoin官方團隊成員反饋了這個bug。

在與RVN開發團隊溝通后,CryptoScope決定暫時關閉SolusExplorer的部分入口,以降低其他攻擊者利用漏洞的可能性,為官方團隊解決問題贏得了一定時間。

7月3日,RVN團隊向社區發布了緊急更新,并最終于7月4日在1,304,352區塊上對Ravencoin網絡進行了程序修復。

7月8日,RVN官方解釋稱,本次漏洞是由于黑客提交的惡意PR引入的bug導致。

視頻流媒體平臺Livepeer公布NFTBerlin 2022黑客松Livepeer獎池獲獎項目:6月10日消息,視頻流媒體平臺Livepeer公布NFTBerlin 2022黑客松中Livepeer獎池的獲獎項目,第一名為Learn 2 earn平臺BSquare,該平臺旨在幫助Web2建設者進入Web3世界;第二名為雙向Livepeer支持的流媒體平臺Metastream,該平臺支持在元宇宙內外共享內容;第三名為驗證協議Videoracle,該平臺使用戶能夠因幫助改進產品、服務和社區而獲得獎勵。[2022/6/10 4:16:51]

此次漏洞共導致RVN增發3.01億枚,相當于原有210億總供應量的1.44%,已有供應量的4.6%。

黑客在暗網售賣25萬個MySQL數據庫,單個價格為0.03枚BTC:PeckShield發微博稱,目前,暗網上有逾25萬個MySQL數據庫正在出售,每個數據庫的價格為0.03枚BTC。自今年10月初起,黑客竊取MySQL數據庫的頻率驟增,他們下載表格,刪除原始文檔,并留下贖金記錄,告訴服務器所有者與其聯系以取回他們的數據。據派盾CoinHolmes追蹤顯示,自11月起,黑客的錢包共入賬0.075枚BTC。[2020/12/11 14:56:10]

根據追蹤,大量增發的RVN被拆開發往不同的地址,并最終轉到了交易所,官方定位到了以下3個地址:

RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK

動態 | 黑客入侵JavaScript庫以竊取加密貨幣:據ZDnet消息,一名黑客獲得了JavaScript庫的權限,并注入了惡意代碼,竊取BitPay的Copay錢包應用程序中存儲的比特幣和比特幣現金資金。包含惡意代碼的庫名為Event-Stream,是用于處理Node.js流數據的JavaScript npm包。GitHub上有用戶投訴稱,名為right9ctrl的JavaScript庫的新管理員是惡意代碼的始作俑者。據悉開發人員使用惡意軟件更新了模塊,然后修補了問題以避免被檢測到,但是已經安裝它的眾多軟件仍然受到影響。[2018/11/27]

RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8

朝鮮被指責是盜取比特幣交易所Youbit的黑客:本周早些時候,韓國主比特幣交易所Youbit遭遇黑客攻擊,導致用戶資金被盜。在遭受黑客攻擊之后,Youbit的母公司Yapian立即申請破產保護。 在一份官方聲明中,Youbit團隊告訴其用戶,在Youbit交易所持有的75%的資金可提現。 但是,要索取其余的資金,公司表示,投資者將不得不等到最后破產程序。[2017/12/22]

RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs

RVN團隊表示已經追蹤到其中一個黑客團隊的線索,并已經掌握攻擊者的信息,希望其將增發的RVN轉至特定的地址進行銷毀。RVN團隊稱已有總計約390萬枚增發的RVN被銷毀。

此外,官方團隊沒有通過類似ETH硬分叉的形式來解決攻擊,而是間接承認了這些增發幣的有效性。為了保證總供應量不變,官方給出的建議方案是降低未來挖礦總收益,不過這個方案還需要得到社區的認可,并最終通過鏈上BIP9升級后才能生效。

此次漏洞除了增加RVN的通脹率之外,不會影響用戶已有的RVN資產和轉賬。

RVN原有發行總量為210億,出塊時間為1分鐘,目前的區塊獎勵為5,000個RVN,每210萬個區塊后獎勵會減半,也就是約4年減半一次。根據官方目前給出的方案,每次減半將比之前提前59,580個區塊。

攻擊者行為復盤

1月16日,名為WindowsCryptoDev的開發人員在RavencoinGithub提交了一個PR,表面看起來是在完善節點返回的報錯信息,該PR很快就得到了Ravencoin官方人員的反饋,并合并進主分支。

PR詳情

原先的代碼,對于asset相關的交易,只要交易的RVNoutputvalue不是0,都會返回“bad-txns-asset-tx-amount-isn't-zero”報錯信息。

該PR針對不同的asset交易類型進行了報錯信息優化,表面看起來是為了方便開發者區分具體的報錯原因,但是黑客留了一個后門,即沒有針對TX_REISSUE_ASSET進行報錯信息優化。注意,這樣帶來的后果不僅僅是報錯信息不可分辨,而是將原本不合法的交易判斷為合法的交易,最終導致了RVN的增發。

1月17日,黑客在Ravencoin主網持續發布TX_ISSUE_ASSET交易,為后續的TX_REISSUE_ASSET攻擊提供基礎。

5月9日,黑客開始每隔2小時在Ravencoin主網發起一個TX_REISSUE_ASSET交易,增發500,000RVN到自己的地址,該行為一直持續到?7月3日,此時黑客察覺到官方已經準備對bug進行修復。

7月4日,主網上還出現了3筆新的攻擊交易,增發了兩筆1,000,000RVN和一筆2,804,398RVN,不過這3筆攻擊交易應該都不是之前的黑客所為。

從SolusExplorer統計來看,最終總增發量為301,804,400RVN,也就是超過3.01億RVN。

安全提示

雖然此次漏洞只影響了Ravencoin網絡,但是還有很多其它區塊鏈系統也遇到過類似的安全問題。例如Bitcoin曾經在2018年被爆出過類似嚴重的安全漏洞,攻擊窗口從2017年10月持續到2018年8月,同時影響了所有2017年10月之后基于Bitcoin代碼開發的新幣種。不過當時的bug并不是黑客惡意引入,而是開發人員的錯誤導致,值得慶幸的是,該bug在被開發人員修復之前沒有被任何黑客利用。

對于區塊鏈開源項目來說,代碼貢獻者的技術能力、貢獻動機等因素都存在諸多不確定性,因此在代碼review上需要核心開發團隊把好關。

Tags:RVNOINCOICOINrvn幣最新消息TongtongcoinCoinnec Tokencoinbase在新加坡

TRX
CON:鏈改分四個層級!第一步是改變思維邏輯丨巴比特產業大課_Juicebox

鏈改,顧名思義就是用區塊鏈技術對企業的業務進行改革或改造。1024講話后,區塊鏈成為核心技術自主創新的重要突破口,鏈改一詞在創業圈里火了.

1900/1/1 0:00:00
COIN:除了 Filecoin,Arweave 與 Crust 等分布式存儲項目也值得你了解_OIN

轉自:鏈聞 作者:嵐聞 與IPFS側重去中心化存儲不同,Crust主打去中心化云服務,Arweave主打永久存儲。有市無幣的FIL一路高漲.

1900/1/1 0:00:00
DEF:DeFi協議Aave獲得硅谷風險投資公司ParaFi投資450萬美元_AVE

要點: ParaFi已向DeFi貸款協議Aave投資450萬美元。Aave提供閃電貸服務,可讓您出于特定目的獲取加密貨幣,然后立即將其歸還并支付利息。Aave是第三大DeFi貸款協議.

1900/1/1 0:00:00
數字貨幣:一周觀察 | 杭州區塊鏈周聚焦產業融合,立陶宛將預售央行數字紀念幣_xusd幣合約錢包

摘要 2020杭州區塊鏈國際周5日正式開幕,區塊鏈與產業融合、數據要素價值挖掘等成為會議焦點。7月5日上午9點,由杭州市余杭區政府指導,杭州未來科技城管委會、巴比特主辦的“2020杭州區塊鏈國際.

1900/1/1 0:00:00
DEF:盤點了十幾個流動性挖礦項目,我們發現了這些趨勢和挑戰_COM

撰文:潘致雄 加密貨幣項目?代幣的分發方式?,是整個項目生態非常重要的一環。如果能設計一套合理的?代幣經濟模型?,激勵系統內的各種利益相關者,對項目發展而言將起到至關重要的作用.

1900/1/1 0:00:00
比特幣:海外挖礦崛起:美國批量建廠,馬來西亞成偷電天堂_區塊鏈

文|棘輪、比薩 進入2020年,中國在比特幣挖礦業的霸主地位,正在遭遇挑戰。劍橋大學數據顯示,從2019年9月到2020年4月,中國比特幣算力占比,從75.62%跌至65.08%.

1900/1/1 0:00:00
ads