慢霧分析Poly Network被攻擊根源：跨鏈合約Keeper可被黑客修改，隨意構造交易_ETH

鏈捕手消息，安全分析團隊慢霧發布PolyNetwork被攻擊事件的分析報告。慢霧認為，該攻擊瞄準的潛在漏洞是EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。

動態 | 慢霧區塊鏈攻防對抗總結：11 月數據泄露趨勢愈發普遍:據慢霧 BTI 系統監測發現，暗網中陸續出現區塊鏈相關的數據泄露情報，包括：GateHub 140 萬用戶信息、數字貨幣交易所用戶信息等，此前 BitMex 也因工作失誤導致大量用戶郵箱信息泄露。11 月另一個重大安全事件是韓國交易所 Upbit 被黑導致 34.2 萬 ETH 從熱錢包中被盜，慢霧安全團隊懷疑該事件可能和 APT(高級持續性威脅)攻擊有關，這種攻擊的特點是長期潛伏，直到碰到可操作的大資金，一次性大筆盜走。

過去數月，慢霧 BTI 系統還曾披露假充值漏洞攻擊、供應鏈攻擊、提幣地址劫持替換攻擊等，慢霧安全團隊在此提醒各項目方，做好安全漏洞自查，進一步增強人員安全意識及平臺風控體系，必要時可聯系專業的區塊鏈安全公司尋求幫助，避免遭受損失。[2019/12/1]

因此，攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper，替換keeper角色的地址后，攻擊者可以隨意構造交易，從合約中提取任意數量的資金。而keeper的私鑰泄漏并非該事件根源。

聲音 | 慢霧余弦：區塊鏈安全漏洞引起的財產損失未來將進一步擴大:據算力智庫微信公眾號文章，公開資料數據顯示，2011-2019年之間，由區塊鏈安全漏洞引起的損失高達84億美元。其中，交易所是重災區，占比近一半。對此，慢霧余弦表示，一方面，交易所的門檻比以往低了很多，而安全防護水平又層次不齊，對于地下黑客來說那就是滿地黃金。此外，這一數據的背后體現了了人們對加密貨幣市場，對區塊鏈的認同。基于這個共識，行業規模擴大，錯誤也隨之放大。未來這一數據增幅還將繼續擴大。對于中心化的交易所而言，會受到傳統行業的攻擊，如服務器、辦公網等，也和公鏈、智能合約有關。每一環都有可能存在的安全問題。他建議把IT建設的預算中拿出15%-20%作為安全預算，其中包括人員的成本維護，殺軟件，防火墻的購置等。但是這并不代表你配置了這些就一定不會被黑。拋開攻防博弈成本去看待這個問題是不客觀的。你每投入一定的比例，那攻擊門檻則相對提高了一個臺階。相對來說你被黑的概率會低很多，但我們這個行業沒有人可以給出這樣的一個永不被黑的承諾。[2019/10/30]

昨日，跨鏈互操作性協議PolyNetwork在以太坊、BSC與Polygon部署的智能合約同時遭到黑客攻擊，價值超過5.9億美元的USDC、ETH等資產被黑客轉移。該攻擊為DeFi迄今為止最嚴重的安全事故。

聲音 | 慢霧預警：ETC可能發生51%攻擊:據慢霧區消息，Ethereum Classic（ETC） 疑似發生51%攻擊，有不少區塊發生回滾；但是Ethereum Classic官方說沒什么問題。出于謹慎的態度，請相關交易所和個人注意關注，及時避險。[2019/1/7]

Tags：ETH區塊鏈ROSROSSethercash區塊鏈的幾個大騙局CROSSZK Cross Chain Bridge

AVAX