安全團隊：Harmony Bridge遭遇攻擊原因或為私鑰泄露_Curve

成都鏈安安全團隊對今日HarmonyBridge被攻擊事件進行了分析：HarmonyBridge疑似私鑰泄露，其中在transactionId為21106到21118的序號遭受到了攻擊(在BNB為120515到120518)，以太坊上損失了85,867個eth，990個AAVE和78,500,000個AAG，BSC上損失了5,000個BNB和640,000個BUSD，共計約100,428,116美元，目前被盜資金還保存在攻擊者地址。

安全團隊：aBNBc代幣合約存在無限鑄幣漏洞:12月2日消息，派盾Peck Shield發推表示，Ankr被盜事件中，aBNBc代幣合約存在無限鑄幣漏洞，黑客可利用此漏洞繞過調用者驗證以獲得任意鑄造權限。[2022/12/2 21:17:23]

攻擊的根本原因是0xf845A7ee8477AD1FB4446651E548901a2635A915和0x812d8622C6F3c45959439e7ede3C580dA06f8f25地址的私鑰疑似泄露。合約在進行isConfirmed檢查時，僅需要兩個驗證者節點通過就能成功驗證。后續項目方在21126的transactionId中(在BSC為120531)將驗證者節點isConfirmed通過數量的require值修改為了4。

安全團隊：沈波資產被盜原因極大可能是私鑰泄露:金色財經報道，據OKLink安全團隊透露，沈波個人錢包資產被盜的情況是其被盜地址直接發起轉賬交易，將ETH，USDC等資產transfer給其它地址，而不是transferFrom，所以其被盜原因不是常規的授權釣魚，很可能是私鑰泄露。另外，盜竊地址已經將3800萬USDC置換為DAI，無法再通過中心化實體進行凍結。

此前報道，沈波價值4200萬美元的個人資產錢包被盜。[2022/11/23 7:59:48]

此前消息，以太坊與Harmony間跨鏈橋Horizo??n遭遇攻擊，損失約1億美元。

安全團隊：Curve Finance的DNS記錄被入侵:金色財經消息，北京時間2022年8月10日凌晨4:20左右，Curve Finance(curve.fi)的DNS記錄被入侵，并指向一個惡意網站。攻擊者注入了惡意代碼，要求用戶對一個未經驗證的合約給予代幣交易批準。如果用戶批準交易，那么該用戶的代幣就會被攻擊者用惡意合約轉走。

當用戶與Curve(curve.fi)上的任意按鈕互動時，網站會要求用戶對一個未經驗證的合約 \"0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 \"給予代幣交易批準。

截止發稿時，大約有77萬美元因此方式而受到損失。攻擊者將資金從他們的錢包轉移到其他幾個錢包，將其中一些換成代幣，并發送了部分ETH到Tornado Cash。

CertiK安全團隊在此提醒廣大用戶，不要確認該交易并且離開該網站。[2022/8/10 12:14:12]

Tags：CurveCURRANTRAcurve幣圈CUR幣TRANSPARENT幣Ultragate

酷幣下載