[安全团队:针对Wintermute损失1.6亿美元黑客事件,建议项目方移除相关地址管理权限]金色财经报道,2022年9月20日,据Beosin EagleEye监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元,Beosin 安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址(攻击者合约)转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征(0x0000000),疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中,已有安全研究者确认其随机性存在安全缺陷(有暴力破解私钥的风险),导致私钥可能泄漏。
Beosin 安全团队建议:1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限,并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户,请尽快转移资产。Beosin Trace正在对被盗资金进行分析追踪。
其它快讯:
安全团队:BNB Chain 节点程序通过黑名单等方式阻止被盗资金流动与潜在攻击:金色财经报道,Beosin 监测显示,目前 BNB Chain 节点程序通过黑名单与暂停 iavlMerkleProofValidate 功能的方式阻止被盗资金流动与潜在的攻击。[2022/10/7 18:41:43]
安全团队:NFT项目Ugly Bros Discord遭攻击并发布钓鱼链接:6月26日消息,据CertiK监测,Cardano链上NFT项目Ugly Bros的Discord遭到攻击并发布包括网络钓鱼链接的公告。请社区用户不要点击任何链接与之交互。[2022/6/26 1:32:37]
分析 | 慢雾安全团队提醒|EOS假账号安全风险预警:根据IMEOS报道,EOS 假账号安全风险预警,慢雾安全团队提醒:
如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功
2. 用户立即拿这个账号去某交易所做提现操作
3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里
防御建议:轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:
1. push_transaction 后会得到 trx_id
2. 请求接口 POST /v1/history/get_transaction
3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆[2018/7/16]
郑重声明: 安全团队:针对Wintermute损失1.6亿美元黑客事件,建议项目方移除相关地址管理权限版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。