宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 火必 > 正文

慢雾分析Poly Network被攻击根源:跨链合约Keeper可被黑客修改,随意构造交易

作者:

时间:1900/1/1 0:00:00

链捕手消息,安全分析团队慢雾发布PolyNetwork被攻击事件的分析报告。慢雾认为,该攻击瞄准的潜在漏洞是EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。

慢雾:Transit Swap黑客攻击交易被抢跑,套利机器人获利超100万美元:10月1日消息,据慢雾安全团队情报,Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑,区块高度为21816885,获利107万BUSD。套利机器人相关地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前,在各方的共同努力下,黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址,建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系,共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

因此,攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper,替换keeper角色的地址后,攻击者可以随意构造交易,从合约中提取任意数量的资金。而keeper的私钥泄漏并非该事件根源。

慢雾科技创始人余弦:安全的预算需要占到全年预算的20%左右:针对最近出现的安全问题,慢雾科技创始人余弦在微博上表示:给加密货币行业一个中肯建议:这个行业,自带金融属性,无国家安全力量保障,盗币溯源有很难。安全的预算需要占到全年预算的20%左右,这比例一部分(可能是大部分)是内部安全成本消耗,一部分是给第三方职业安全团队(如慢雾),一部分是给社区的白帽黑客。另外,做个安全应急准备金,黑天鹅出来后,可以拿来做些弥补及挽救支持的。既然喊了安全第一,既然安全也是区块链三大必备基础元素之一,那就这样干,不应该有任何的犹豫和幻想。[2020/4/20]

昨日,跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击,价值超过5.9亿美元的USDC、ETH等资产被黑客转移。该攻击为DeFi迄今为止最严重的安全事故。

声音 | 慢雾科技余弦:区块链行业很多小公司 喜欢办公去中心化:安全公司慢雾科技联合创始人余弦在微博上称,区块链行业真是很多小公司,甚至只有一个人的,喜欢办公去中心化。很多优秀知名的项目,人也很少,像我们这样的都算比较多人的了...从我个人角度,我喜欢这种小而美的公司,利润还不错,做大还是做强,人数多少永远不是重点,创造好价值,赚到钱,如果不小心还能影响点世界的话,何其幸运。[2019/10/10]

标签:RANCROROSSHAIBRANACROSS价格Hot Crossecochain

火必热门资讯
收购 Hermez 使 Polygon 成为最全扩容方案,其他 L2 如何接招?

撰文:潘致雄 Polygon以2.5亿美元收购Hermez可能是迄今为止第二大的区块链原生协议并购案,以太坊扩容方案?Polygon?也因此补全了目前难度最高、基于零知识证明的扩容技术.

1900/1/1 0:00:00
Coinbase Pro将上线 AXS、REQ、TRU与WLUAN

链捕手消息,CoinbasePro在推特宣布即将上线AxieInfinity、Request、TrueFi、WrappedLuna(WLUNA),如果满足流动性,交易将于太平洋时间8月12日9时开启交易.

1900/1/1 0:00:00
借贷新势力崛起,一文读懂 Euler、Qubit、Beta Finance 与 BENQI

作者:许潇鹏,MintVentures研究员原标题:《借贷新势力崛起:新公链VS?以太坊》 编译:麟奇,链捕手 本篇研报属于MintVentures的#赛道扫描系列,相对于针对单独项目进行全方位分析的#深度研报系列.

1900/1/1 0:00:00
华盛顿邮报:Facebook高管与美国政府高官会面,寻求批准其全球支付系统Diem

链捕手消息,据华盛顿邮报报道,知情人士透露,最近几周,Facebook高管一直在与拜登政府高级官员会面,试图缓解监管对其支付项目Diem的担忧.

1900/1/1 0:00:00
加密货币交易所BitMEX推出可保护用户隐私的交易所资产与负债证明工具

链捕手消息,加密货币交易所BitMEX昨日宣布推出可以保护用户隐私的交易所资产与负债证明工具。该工具实现了可以验证BitMEX可支配代币余额以及让用户验证其账户余额是否被包含在交易所可支配余额中,或交易所能否偿付其负债的功能,但也一定.

1900/1/1 0:00:00
dYdX发布8月交易数据:有效交易量达98亿美元,超3.3万用户未达空投领取资格

作者:谷昱 随着dYdXEpoch0交易周期的结束,dYdX基金会近日发布Epoch0回顾报告,对该阶段的交易量、交易用户等数据进行梳理。根据该报告,dYdX在该阶段的名义总交易量为138亿美元,名义总手续费收入达到1190万美元.

1900/1/1 0:00:00