巴比特讯,8月10日晚间,跨链互操作协议PolyNetwork遭到黑客攻击,共计超6.1亿美元转出至3个地址,受此影响导致O3Swap跨链池大额资产被转出。对此,慢雾安全团队发布分析报告表示,这种攻击主要是因为EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改,EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。因此,攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper,并非由于keeper的私钥泄露而发生此事件。
慢雾:针对传言火币信息泄漏事件不涉及用户账户与资金安全 请保持客观冷静对待:据官方消息,慢雾注意到近日有白帽子公开了此前一个火币已经处理完毕的过往漏洞信息。经慢雾与火币官方确认,火币本着负责任披露信息的策略,对本次事件做以下说明:本次事件是小范围内(4000人)的用户联络信息泄露,信息种类不涉及敏感信息,不涉及用户账户与资金安全。事件发生于2021年6月22日日本站测试环境S3桶相关人员不规范操作导致,相关用户信息于2022年10月8日已经完全隔离,日本站与火币全球站无关。本次事件由白帽团队发现后,火币安全团队2023年6月21日(10天前)已第一时间进行处理,立即关闭相关文件访问权限,当前漏洞已修复,所有相关用户信息已经删除。感谢白帽团队对于火币安全做出的贡献。最后提醒请大家冷静对待,切勿传谣。[2023/7/1 22:12:01]
慢雾:利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道,SlowMist发布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻击,利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日,利用者发起了20提案,并在提案中说明20提案是对16提案的补充,具有相同的执行逻辑。但实际上,提案合约多了一个自毁逻辑,其创建者是通过create2创建的,具有自毁功能,所以在与提案合约自毁后,利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是,社区没有看到拟议合约中的犯规行为,许多用户投票支持该提案。
在5月18日,利用者通过创建具有多个交易的新地址,反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性,利用者在5月20日7:18(UTC)销毁了提案执行合约,并在同一地址部署了一个恶意合约,其逻辑是修改用户在治理中锁定的代币数量。
攻击者修改完提案合约后,于5月20日7:25(UTC)执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的,因此,该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后,攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽,同时利用者控制了治理。[2023/5/21 15:17:00]
慢雾科技启富:慢雾将与 HyperPay 团队持续保持密切战略合作:11月6日消息,慢雾科技合伙人启富在做客《HyperPay焦点》栏目时提及:数字货币的安全问题一直是用户最关心的问题。HyperPay 作为一款钱包更是应该重视安全。数字资产钱包关联的私钥意味着数字资产的所有权,私钥的安全性直接决定数字资产的安全性。之前 HyperPay 钱包也全项通过了慢雾科技钱包安全审计,希望 HyperPay 继续保持高效安全,融合更多的功能打造出一款具有革命性和独创性的区块链钱包产品。慢雾希望与 HyperPay 团队持续保持密切战略合作,共同维护区块链生态安全。[2020/11/6 11:51:16]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。