慢雾分析Poly Network被攻击根源：跨链合约Keeper可被黑客修改，随意构造交易

链捕手消息，安全分析团队慢雾发布PolyNetwork被攻击事件的分析报告。慢雾认为，该攻击瞄准的潜在漏洞是EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改，而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。

慢雾：Transit Swap黑客攻击交易被抢跑，套利机器人获利超100万美元:10月1日消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为21816885，获利107万BUSD。套利机器人相关地址列表如下：0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前，在各方的共同努力下，黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址，建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系，共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

因此，攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper，替换keeper角色的地址后，攻击者可以随意构造交易，从合约中提取任意数量的资金。而keeper的私钥泄漏并非该事件根源。

慢雾科技创始人余弦：安全的预算需要占到全年预算的20%左右:针对最近出现的安全问题，慢雾科技创始人余弦在微博上表示：给加密货币行业一个中肯建议：这个行业，自带金融属性，无国家安全力量保障，盗币溯源有很难。安全的预算需要占到全年预算的20%左右，这比例一部分（可能是大部分）是内部安全成本消耗，一部分是给第三方职业安全团队（如慢雾），一部分是给社区的白帽黑客。另外，做个安全应急准备金，黑天鹅出来后，可以拿来做些弥补及挽救支持的。既然喊了安全第一，既然安全也是区块链三大必备基础元素之一，那就这样干，不应该有任何的犹豫和幻想。[2020/4/20]

昨日，跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击，价值超过5.9亿美元的USDC、ETH等资产被黑客转移。该攻击为DeFi迄今为止最严重的安全事故。

声音 | 慢雾科技余弦：区块链行业很多小公司 喜欢办公去中心化:安全公司慢雾科技联合创始人余弦在微博上称，区块链行业真是很多小公司，甚至只有一个人的，喜欢办公去中心化。很多优秀知名的项目，人也很少，像我们这样的都算比较多人的了...从我个人角度，我喜欢这种小而美的公司，利润还不错，做大还是做强，人数多少永远不是重点，创造好价值，赚到钱，如果不小心还能影响点世界的话，何其幸运。[2019/10/10]

标签：RANCROROSSHAIBRANACROSS价格Hot Crossecochain

火必热门资讯