比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XMR > Info

慢霧:pGALA 事件根本原因系私鑰明文在 GitHub 泄露_GALA

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,11月4日,一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%。慢霧分析結果如下:

1.在pGALA合約使用了透明代理模型,其存在三個特權角色,分別是Admin、DEFAULT_ADMIN_ROLE與MINTER_ROLE。

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

2.Admin角色用于管理代理合約的升級以及更改代理合約Admin地址,DEFAULT_ADMIN_ROLE角色用于管理邏輯中各特權角色,MINTER_ROLE角色管理pGALA代幣鑄造權限。

慢霧:共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息,慢霧首席信息安全官23pds發推表示,針對共享Apple ID導致資產被盜現象,核心問題是應用沒有和設備碼綁定,目前99%的錢包、交易App等都都存在此類問題,沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行,攻擊者在配合其他手法如社工、爆破等獲取的密碼,導致資產被盜。23pds提醒用戶不要使用共享Apple ID等,同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

3.在此事件中,pGALA代理合約的Admin角色在合約部署時被指定為透明代理的proxyAdmin合約地址,DEFAULT_ADMIN_ROLE與MINTER_ROLE角色在初始化時指定由pNetwork控制。proxyAdmin合約還存在owner角色,owner角色為EOA地址,且owner可以通過proxyAdmin升級pGALA合約。

分析 | 慢霧:韓國交易所 Bithumb XRP 錢包也疑似被黑:Twitter 上有消息稱 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盜 20,000,000 枚 XRP(價值 $6,000,000),通過慢霧安全團隊的進一步分析,疑似攻擊者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 時間 03/29/2019?13:46 新建并激活,此后開始持續 50 分鐘的“盜幣”行為。此前慢霧安全團隊第一時間披露 Bithumb EOS 錢包(g4ydomrxhege)疑似被黑,損失 3,132,672 枚 EOS,且攻擊者在持續洗幣。更多細節會繼續披露。[2019/3/30]

4.但慢霧安全團隊發現proxyAdmin合約的owner地址的私鑰明文在Github泄漏了,因此任何獲得此私鑰的用戶都可以控制proxyAdmin合約隨時升級pGALA合約。

5.proxyAdmin合約的owner地址已經在70天前被替換了,且由其管理的另一個項目pLOTTO疑似已被攻擊。

6.由于透明代理的架構設計,pGALA代理合約的Admin角色更換也只能由proxyAdmin合約發起。因此在proxyAdmin合約的owner權限丟失后pGALA合約已處于隨時可被攻擊的風險中。

綜上所述,pGALA事件的根本原因在于pGALA代理合約的Admin角色的owner私鑰在Github泄漏,且其owner地址已在70天前被惡意替換,導致pGALA合約處于隨時可被攻擊的風險中。

Tags:MINADMALAGALAgemini求婚ADMONKEYpgala幣官網GalaxyPad

XMR
pGALA 合約遭到攻擊,GALA 短時下跌超 20%_GALA

一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%.

1900/1/1 0:00:00
Vitalik 發布以太坊最新路線六大關鍵路線_VIT

作者:GaryMa?吳說區塊鏈今日,Vitalik發布了以太坊的最新路線圖,在此前的五大關鍵路線的基礎上,新增了以解決交易審查和MEV風險為中心的關鍵路線TheScourge.

1900/1/1 0:00:00
Buidler DAO 蝗蟲精選:NFT 敘事探索的必讀文章_WEB

作者:BuidlerDAO深度精選是我們推薦的本周市場熱議主題下必讀文章,取材自BuidlerDAO認知蝗蟲計劃每日推送;在這里.

1900/1/1 0:00:00
Green Asset Capital 推出四支加密基金,總規模達 10 億美元_GRE

據openpr報道,全球數字資產投資集團GreenAssetCapital宣布推出四支加密基金.

1900/1/1 0:00:00
數據:FTX 爆雷事件韓國用戶受影響最大,其次為新加坡_tron

許多新加坡散戶投資者在FTX事件中受到影響,據earthweb.com數據顯示,新加坡用戶占FTX總用戶量的5%以上,成為受FTX影響第二大國家,僅次于排名第一的韓國,德國排名第三.

1900/1/1 0:00:00
FTX 暴雷余震:重創西方加密勢力,有望改寫競爭格局_COI

作者:0xmin,深潮TechFlow“之前,一家西方大型基金已經Commit了我們的項目,但現在又進入觀望狀態了”,一位項目方創始人無奈地說道.

1900/1/1 0:00:00
ads