安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞_EOS

10月7日消息，據BeosinEagleEye平臺監測顯示，BSCTokenHub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。1）攻擊者先選取一個提交成功的區塊的哈希值2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點3）在IAVL樹上添加一個任意的新葉子節點4）同時，添加一個空白內部節點以滿足實現證明5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希6）最終構造出該特定區塊的提款證明BeosinTrace正在對被盜資金進行實時追蹤。

安全團隊：7月同一團隊已進行至少7次針對Discord的攻擊，盜取超200枚NFT:7月11日消息，據CertiK統計，僅在7月份就發現了至少7次針對Discord的攻擊，背后都是同一個釣魚網站。僅此個人/團隊就盜取了超過200枚NFT。請用戶注意防范。[2022/7/11 2:04:59]

安全團隊：ACC代幣發生Rug Pull，損失達12萬美元:6月6日消息，CertiK表示，經初步分析，ACC代幣暴跌超70%，近期交易中有7筆被認定為可疑的Rug Pull，損失達12萬美元。項目團隊似乎擁有拋售代幣的賬戶。

2022年4月12日，ACC代幣部署器0x8045f108f39a3b4efa77b00d166a44479691902e鑄造了7900,000枚ACC代幣到0x8045f108f39a3b4efa77b00d166a44479691902e。

然后，該錢包在5月23日將395000枚ACC轉移到0xb61eb71a492f47a5fd8e927081526abc2211f9ca。[2022/6/6 4:05:21]

安全團隊：周杰倫疑似被釣魚攻擊:4月1日消息，周杰倫在社交媒體上發文確認，曾由好友贈予的無聊猿 BAYC #3738 NFT 被盜。

慢霧安全團隊經過分析發現，周杰倫疑似被釣魚攻擊，其錢包地址（0x71de2...e97a1）在11:02簽名了授權（approve）交易，將NFT的權限授予了攻擊者錢包（0xe34f0...072da），然后攻擊者在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中。與此同時，還有另外2個錢包地址的NFT也被盜以及1個錢包地址的ApeCoin被盜。攻擊者得手后，在LooksRare和OpenSea上將盜取的NFT賣掉，獲得約169.6 ETH。目前資金停留在 0x6E85C...85b15地址上。[2022/4/1 14:31:09]

Tags：NFTACCSINEOSNFTPUNK幣ACCELCasino CoinPIXEOS

Filecoin