链闻消息,针对跨链互操作协议PolyNetwork被黑客攻击的事件,慢雾安全团队分析称是由于跨链合约keeper被修改为黑客制定地址,从而使黑客可以随意构造交易从合约中取出任意数量的资金,具体如下:1.本次攻击的核心在于EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数执行具体的跨链交易。2.由于EthCrossChainData合约的owner为EthCrossChainManager合约,因此EthCrossChainManager合约可以通过调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数修改合约的keeper。3.其中EthCrossChainManager合约的verifyHeaderAndExecuteTx函数是可以通过内部调用_executeCrossChainTx函数执行用户指定的跨链交易,所以攻击者只需要通过verifyHeaderAndExecuteTx函数传入精心构造的数据来使_executeCrossChainTx函数执行调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数以改变keeper角色为攻击者指定的地址。4.替换完成keeper角色地址后,攻击者即可随意构造交易从合约中取出任意数量的资金了。
慢雾余弦:SushiSwap仿盘项目KIMCHI项目方权限过大可任意铸币:9月2日消息,慢雾创始人余弦发微博分析,SushiSwap仿盘项目KIMCHI(泡菜)项目方确实拥有任意铸币的权限,只是如果项目方要任意铸币,至少需要等待2天时间。对接泡菜的平台可以观测泡菜厨师的devaddr地址是否变更为泡菜厨师的当前owner地址。[2020/9/2]
声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。
慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]
动态 | 慢雾安全团队推出 EOS 合约验证平台:据IMEOS报道,慢雾安全团队推出 EOS 合约验证平台,希望借此为区块链世界构建一个更加安全的生态环境。该功能包括:
1.用户可对已验证 EOS 合约账户的源代码进行查询;
2.项目方可自行上传源代码进行一致性校验。[2018/8/14]
标签:CROSChainCHAHAIHOTCROSS币TomoChaintchain币上线哪些交易所digichain币最新消息
尊敬的用户, 七夕佳节,瓦特有礼!为助力用户交易,回馈广大用户,WBF推出“七夕有礼遇见瓦特”七夕特别活动.
1900/1/1 0:00:00NFT市场在经历了短暂的沉寂期之后重新迎来了新一波的爆发,其中?GameFi?赛道的发展尤为引人关注,「DeFi使游戏金融化」、「金融产品游戏化」、「Playtoearn」等概念释放出巨大的市场潜能.
1900/1/1 0:00:00尊敬的虎符用户: 为了满足用户对优质项目支持的需求,HooLabs已于2020年5月26日推出CasperLabs?项目支持.
1900/1/1 0:00:00链闻消息,Web3去中心化API服务API3宣布推出API3联盟,联合100多家API提供商直接向Web3提供预言机服务.
1900/1/1 0:00:00为庆祝UnoRe(UNO)近日在项目DApp上的重大更新,同时也为了感谢各位KuCoin用户长期以来的支持,UnoRe团队将联合KuCoin发放$20,000等值UNO奖池.
1900/1/1 0:00:00本期投票上币活动已圆满结束,感谢广大用户的参与和支持。Gate.io投票上币活动将持续带来更多有潜力的优质项目,敬请期待.
1900/1/1 0:00:00