BSC:安全團隊：dydx的SDK用了一個惡意的第三方組件，可能導致用戶憑據泄露

9月24日消息，據BeosinEagleEye平臺輿情監測顯示，MaciejMensfeld發現的服務器異常文件http://api.circle-cdn.com/setup.py，通過對比代碼，發現與樣某樣本庫中的一份惡意代碼樣本一致https://dwz.win/azUFBeosin安全團隊深入分析發現攻擊者通過在本機執行以下代碼獲取系統敏感信息：接著利用socket庫函數gethostname提取dns解析，同時獲取當前用戶基本信息并進行數據封裝。然后將組裝好的信息利用curl命令以文件格式發到api.circle-cdn.com的服務器上，以隨機數字命名的txt格式，執行上傳之后并做了清理工作，沒有留下生成的臨時文件。Beosin安全團隊總結：此腳本目的是獲取用戶計算機上的敏感配置文件，有些配置文件可能會導致重要的賬戶憑證信息失竊，會帶來較大的風險。

安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞:10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Beosin Trace正在對被盜資金進行實時追蹤。[2022/10/7 18:41:51]

安全團隊：一筆價值約240萬美元的可疑資金被存入Tornadocash:金色財經消息，據CertiK監測，有一筆價值約240萬美元的可疑資金被存入Tornadocash。目前很可能與BXH（BXH_Blockchain）事件有關。截至發稿時，有1865枚ETH（約240萬美元）被盜走。

具體細節：EOA 0x158F5......執行了一個可從BSC和AVAX staking合約中提取資金的特權功能，然后將代幣轉移到了以太坊。

一個被該事件影響的人在創建的Telegram群中泄露了持有資產的staking合約以及相應的團隊地址。

BSC 0x158F5......使用InCaseTokensGetStuck()特權函數從staking合約中取出資金。

ERC-20代幣隨后被換成了ETH，所有資金即1865ETH（240萬美元）已經被存入Tornadocash。[2022/9/24 7:18:05]

安全團隊：rugpullfinder Discord服務器已被入侵:金色財經報道，據CertiK監測顯示，NFT開源情報供應商@rugpullfinder Discord服務器已被入侵。在#hack-warnings頻道里有一個釣魚鏈接。

請不要點擊鏈接，Mint，或批準任何交易。[2022/8/17 12:30:59]

Tags：SINEOSBSCTOKENsuperwebusiness柚子幣eos最新真實消息CZ Boss BSCZaddy Inu Token

KuCoin