成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,跨鏈通訊協議Nomad遭遇攻擊,成都鏈安安全團隊現將解析結果分享如下,通過被攻擊合約(0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3)的轉賬交易看到,許多地址都進行了攻擊。通過找到一筆相關交易,可以到看到攻擊者利用了合約中的process函數進行提取。
安全團隊:針對Wintermute損失1.6億美元黑客事件,建議項目方移除相關地址管理權限:金色財經報道,2022年9月20日,據Beosin EagleEye監測顯示,Wintermute在DeFi黑客攻擊中損失1.6億美元,Beosin 安全團隊發現,攻擊者頻繁的利用0x0000000fe6a...地址調用0x00000000ae34...合約的0x178979ae函數向0x0248地址(攻擊者合約)轉賬,通過反編譯合約,發現調用0x178979ae函數需要權限校驗,通過函數查詢,確認0x0000000fe6a地址擁有setCommonAdmin權限,并且該地址在攻擊之前和該合約有正常的交互,那么可以確認0x0000000fe6a的私鑰被泄露。結合地址特征(0x0000000),疑似項目方使用Profanity工具生成地址。該工具在之前發的文章中,已有安全研究者確認其隨機性存在安全缺陷(有暴力破解私鑰的風險),導致私鑰可能泄漏。
Beosin 安全團隊建議:1.項目方移除0x0000000fe6a地址以及其他靚號地址的setCommonAdmin/owner等管理權限,并使用安全的錢包地址替換。2.其他使用Profanity工具生成錢包地址的項目方或者用戶,請盡快轉移資產。Beosin Trace正在對被盜資金進行分析追蹤。[2022/9/20 7:08:40]
在process函數中,可以看到合約對_messageHash進行了判斷,而輸入的messages為0x000000....時,相當于任何未使用的hash,都可以判斷通過。然后跟進acceptableRoot函數,因為_root設置為零(0x000000....),而confirmAt等于1,導致判斷恒成立,攻擊者就能提取資金。
安全團隊:建議Solana錢包用戶盡快轉移加密資產至CEX或者硬件錢包:8月3日消息,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,Solana生態發生大規模盜幣事件,經成都鏈安安全團隊分析,事故的原因可能是一次供應鏈攻擊,npm package里面有后門,所以很多錢包受到影響。建議Solana錢包用戶盡快轉移加密資產至CEX或者硬件錢包,成都鏈安鏈必追平臺正在對被盜資金進行實時監控。[2022/8/3 2:55:14]
此前消息,此前消息,Nomad遭遇黑客攻擊,其代幣橋內的1.9億美元資金幾乎全部耗盡。
安全團隊:近期Windows 版 Coremail 郵件客戶端存在RCE漏洞,可能導致錢包私鑰泄露,提醒大家注意錢包安全:7月26日消息,據成都鏈安鏈必知-區塊鏈安全輿情平臺監測到的微步動態顯示,近期Windows 版 Coremail 郵件客戶端存在 RCE(遠程代碼執行)漏洞,該漏洞利用過程簡單且穩定。攻擊者可以通過執行任意代碼完全控制受害者主機,進而危害用戶主機上的錢包安全。經分析驗證,攻擊者可以給受害者發送一封精心構建的郵件,如果受害者使用Coremail客戶端打開郵件,即可自動運行郵件附件中的惡意可執行程序。全程不需要受害者點開任何郵件中的鏈接或附件,打開郵件即中招。據悉,此次漏洞受影響版本為Coremail Air 客戶端3.0.5版本及以上,3.1.0.303(不含)以下版本。在此提醒大家注意錢包安全:未知來源的郵件和附件、鏈接等請不要隨意點擊;并將Coremail 郵件客戶端升級至最新版本。[2022/7/26 2:38:48]
Tags:0X0OREMAICORE0x0.ai: AI Smart ContractBOREDMGYMAIHardcore
慢霧發布對Solana攻擊事件的分析,據Solana基金會提供的數據,被盜用戶中約60%使用Phantom、約30%使用Slope,其余使用TrustWallet、Coin98Wallet等.
1900/1/1 0:00:00據Cointelegraph報道,美國證券交易委員會(SEC)在針對Ripple的訴訟中遭受了打擊,一名美國法官否認了其關于“Hinman演講”相關文件屬于律師-當事人特權的主張.
1900/1/1 0:00:00前TheBlock研究員MikaHonkasalo發布《UNI持有者控制Uniswap協議的簡要路線圖》,該路線圖提出了一套改善Uniswap使其進一步去中心化.
1900/1/1 0:00:00據官方推特,Otherside將于北京時間7月6日13點和7月9日13點進行兩次負載測試,負載測試的目的是讓Improbable團隊了解平臺極限并在7月16日第一次技術演示之前找到潛在斷點問題.
1900/1/1 0:00:00據MacauBusiness報道,游戲公鏈Oasys通過私人代幣銷售完成2000萬美元融資,RepublicCapital領投.
1900/1/1 0:00:00據Cointelegraph報道,共有約155名投資者在InsurAce購買了UST脫錨的保單.
1900/1/1 0:00:00