[安全团队:谨防多重签名假充值]据慢雾区情报,近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。
慢雾安全团队分析发现,攻击者通常使用 2-of-3 多签地址,其中 1 个地址为攻击者在交易所的充值地址(假设为 A),2 个地址为攻击者控制私钥的地址(假设为 B、C),然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易,此时攻击者在交易所的充值地址 A 虽然收到资金,但是由于花费这笔资金至少需要 2 个地址的签名,攻击者可利用自己控制的 B、C 地址将充值资金转出。
慢雾安全团队建议交易所,及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。
其它快讯:
安全团队:疑似BXH 9月21日被盗资金出现异动,1865 ETH转移到Tornado Cash:金色财经消息,据慢雾安全团队,根据BXH笨小孩团队9月23日的通告,前天(9月21日)晚被盗共计价值250万美元的资产以及3800万BXH代币。
慢雾MistTrack分析评估,BXH VaultPool合约原owner的私钥疑似被盗,调用inCaseTokensGetStuck函数转移合约中资金到黑客地址,黑客地址为0x158f...e345。
截止目前,黑客已将被盗资金跨链兑换到ETH链,并进一步将全部被盗资金转移到Tornado Cash,转移额共计1865 ETH。慢雾MistTrack将持续跟进被盗资金的转移。[2022/9/24 7:18:31]
安全团队:NFT项目Mimi's Adventure的Discord服务器遭黑客入侵:7月6日消息,安全团队CertiK今日发推文称,NFT项目Mimi's Adventure的Discord服务器遭黑客入侵,提醒用户不要点击任何链接。[2022/7/6 1:54:21]
安全团队:Sport Move 确认跑路,SPORT代币跌幅已逾61%:金色财经消息,据CertiK安全团队监测,Sport Move 确认跑路,$SPORT跌幅已逾61%。该项目在上线约10小时后就冻结和删除了其社交账号。BSC代币地址:0x254433199984F5f43fFdA965d83a927635AFd300。[2022/5/27 3:45:10]
郑重声明: 安全团队:谨防多重签名假充值版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。