Beosin：BSC Token Hub 用于验证 IAVL 树的方式存在漏洞，允许攻击者伪造信息

ForesightNews消息，据BeosinEagleEye平台监测显示，BSCTokenHub10月7日遭遇黑客攻击，Beosin安全团队现将手法解析如下：币安跨链桥BSCTokenHub在进行跨链交易验证时，使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞，该漏洞可能允许攻击者伪造任意消息。1）攻击者先选取一个提交成功的区块的哈希值2）然后构造一个攻击载荷，作为验证IAVL树上的叶子节点3）在IAVL树上添加一个任意的新叶子节点4）同时，添加一个空白内部节点以满足实现证明5）调整第3步中添加的叶子节点，使得计算的根哈希等于第1步中选取的提交成功的正确根哈希6）最终构造出该特定区块的提款证明据Beosin安全团队统计，总计有1.435亿美元的被盗资金通过跨链进行转移，通过跨链转移的资金约被盗资金中有7739万美元的资金通过各种跨链转入了以太坊，5896万美元的资金留存在FTM链中，400万美元的资金在Arbitrum链中，172万美元的资金在Avalanche链中，40万美元的资金在Polygon和110万美元在Optimism。BeosinTrace正在对被盗资金进行实时追踪。

区块链智能标签技术公司Beontag完成1.2亿欧元债务融资:1月17日消息，区块链智能标签技术公司 Beontag 宣布通过其全资子公司 Tag Lux Sarl. 完成 1.2 亿欧元债务融资，德意志银行领投。Beontag 推出的智能标签技术能让 Web2 和 Web3 领域里的品牌商为客户提供基于智能手机的售后服务和体验，其智能标签使消费者可以访问详细说明产品生命周期的链上数字证书，还可以让消费者以转售为目的转让所有权，其客户包括 Alexander McQueen、Dolce & Gabbana 和 Bulgari 等奢侈品牌。[2023/1/17 11:16:52]

Beosin：TempleDAO项目遭受黑客攻击，涉及金额约236万美元:据Beosin EagleEye Web3安全预警与监控平台监测显示，TempleDAO项目遭受黑客攻击。因为在StaxLPStaking合约的migrateStake函数缺少权限校验，导致任意人都可以通过该函数提取合约中的StaxLP。

Beosin安全团队分析发现攻击者已把全部获得的StaxLP代币全部兑换为ETH，目前被盗资金已全部转移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址，Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/12 10:31:30]

Beosin：QANplatform跨链桥遭受黑客攻击，涉及金额约189万美元:10月11日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。

Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址（因为0x68e819是创建跨链桥地址，所以该地址应该属于项目方。）调用跨链桥合约中的bridgeWithdraw函数提取QANX代币，然后把QANX代币兑换为相应平台币。存放在攻击者地址上（0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11）。目前被盗资金中还存放在攻击者地址，Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]

标签：EOSSINSTATAGeos币还有希望吗sinoc币未来能涨多少倍KStarNFTHectagon

pepe最新价格热门资讯