比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BTC > Info

慢霧:警惕 Filecoin RBF 假充值攻擊_ORN

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧安全提醒,Filecoin出現“雙花交易”,多家交易所關閉FIL充值通道。慢霧安全團隊對相關信息分析發現,這是一起Filecoin的RBF假充值攻擊事件而非”雙花攻擊“。攻擊者預先發送一筆低gas-feecap的交易,然后通過提高gas-premium和gas-feecap替換原交易,此時RBF交易優先被打包上鏈,舊交易被丟棄,但是由于FilecoinlotusRPC有一個特性,在查詢舊交易的執行狀態時返回的是RBF交易的執行狀態,導致交易所對兩筆交易重復入賬。

慢霧:利用者通過執行惡意提案控制了Tornado.Cash的治理:金色財經報道,SlowMist發布Tornado.Cash治理漏洞解析。 5月20日,Tornado.Cash遭受了治理攻擊,利用者通過執行惡意提案控制了Tornado.Cash的治理。5月13日,利用者發起了20提案,并在提案中說明20提案是對16提案的補充,具有相同的執行邏輯。但實際上,提案合約多了一個自毀邏輯,其創建者是通過create2創建的,具有自毀功能,所以在與提案合約自毀后,利用者仍可以部署不同的以與以前相同的方式將字節碼發送到相同的地址。不幸的是,社區沒有看到擬議合約中的犯規行為,許多用戶投票支持該提案。

在5月18日,利用者通過創建具有多個交易的新地址,反復將0代幣鎖定在治理中。利用提案合約可以銷毀并重新部署新邏輯的特性,利用者在5月20日7:18(UTC)銷毀了提案執行合約,并在同一地址部署了一個惡意合約,其邏輯是修改用戶在治理中鎖定的代幣數量。

攻擊者修改完提案合約后,于5月20日7:25(UTC)執行惡意提案合約。該提案的執行是通過 Delegatecall 執行的,因此,該提案的執行導致治理合約中由開發者控制的地址的代幣鎖定量被修改為 10,000。提案執行完成后,攻擊者從治理庫中解鎖了TORN代幣。金庫中的TORN代幣儲備已經耗盡,同時利用者控制了治理。[2023/5/21 15:17:00]

慢霧安全團隊提醒交易所及相關錢包方,在充值入賬時,需要對比查詢返回結果中的cid與查詢的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比,避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是,此次攻擊方法更加隱蔽,是由于Filecoin節點特性所引起,交易所及相關錢包方應再次檢查充值入賬程序,除了RBF外,還有常規的To、Value、轉賬類型Method,以及執行結果ExitCode等字段的校驗,必要時可請安全審計公司協助檢測。

慢霧:已凍結部分BitKeep黑客轉移資金:12月26日消息,慢霧安全團隊在社交媒體上發文表示,正在對 BitKeep 錢包進行深入調查,并已凍結部分黑客轉移資金。[2022/12/26 22:08:58]

慢霧:Gate官方Twitter賬戶被盜用,謹慎互動:10月22日消息,安全團隊慢霧發文稱:加密平臺Gate官方Twitter賬戶被盜用,謹慎互動。半小時前,攻擊者利用該賬戶發文,誘導用戶進入虛假網站連接錢包。此外,慢霧科技創始人余弦在社交媒體上發文表示:注意下,Gate官方推特應該是被黑了,發送了釣魚信息,這個網址 g?te[.]com 是假的(之前談過的 Punycode 字符有關的釣魚域名),如果你去Claim會出現eth_sign這種簽名釣魚,可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

Tags:TORTORNORNFILmatchstorevaluetorn幣暴跌torn幣會歸零嗎fil幣幣幣情

BTC
OKEx 將上線 Kine Protocol 代幣 KINE,并啟動 150,000 美金 KINE 限時 IFO_INE

鏈捕手消息,歐易?OKEx宣布將上線KineProtocol代幣KINE,將于3月15日12點開放KINE充值,3月15日13點開放KINE/USDT的市場交易.

1900/1/1 0:00:00
起底 Dragonfly Capital:橋接東西方加密世界的互聯網 OG_FLY

本文發布于鏈向區塊鏈。 3月18日,中美兩國政府高層官員舉行了自拜登總統就任以來的首次會晤,這是一個很好的機會,可以把握兩國之間的長期關系。遺憾的是,聯盟幾乎不存在.

1900/1/1 0:00:00
吐槽|Conflux不過是一個兼容EVM的BCH_CON

本文來自于火星財經,作者TradingView。昨晚看到Conflux發文質疑波卡,可能是因為喝了點小酒,一上頭就去Conflux懟了一通.

1900/1/1 0:00:00
KOL入駐,吸金1.6億美元,BitClout是騙局嗎?_ITC

本文發布于區塊律動。 在加密貨幣這種無形資產被NFT帶到了新的普及高度后,一個名為「BitClout」的項目出現在了風口浪尖.

1900/1/1 0:00:00
讀懂去中心化開源貨幣政策演化:從美聯儲到比特幣,再到 Maker 和 Fei_NFT

本文發布于鏈聞ChainNews,作者:RichardBurton,翻譯:盧江飛。我們到底該怎么賺錢呢?這是一個讓我花了不少時間思考的有趣問題.

1900/1/1 0:00:00
VanEck比特幣ETF申請已開啟45天審查期_SEC

鏈捕手消息,據CoinDesk報道,美國證券交易委員會公布VanEck比特幣ETF申請19b-4表格,SEC現在有45天的時間批準或拒絕該申請或延長審查期限.

1900/1/1 0:00:00
ads