比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 世界幣 > Info

黑客代碼導致 3 億增發——RVN 漏洞事件全回顧_COI

Author:

Time:1900/1/1 0:00:00

6月29日,SolusExplorer開發團隊CryptoScope的一個程序員在回歸測試時,發現瀏覽器統計的RVN余額出了問題,在深入排查問題后,他確認主網出現了很多異常的RVN增發操作,隨后快速聯系Ravencoin官方團隊成員反饋了這個bug。

在與RVN開發團隊溝通后,CryptoScope決定暫時關閉SolusExplorer的部分入口,以降低其他攻擊者利用漏洞的可能性,為官方團隊解決問題贏得了一定時間。

7月3日,RVN團隊向社區發布了緊急更新,并最終于7月4日在1,304,352區塊上對Ravencoin網絡進行了程序修復。

7月8日,RVN官方解釋稱,本次漏洞是由于黑客提交的惡意PR引入的bug導致。

Moonbeam和Moonriver通過緊急升級已解決白帽黑客披露的安全問題:6月1日消息,波卡生態智能合約平臺Moonbeam Network宣布Moonbeam和Moonriver通過runtime1503和1504緊急升級,已解決由獨立白帽黑客通過Immunefi漏洞賞金計劃披露的安全問題。

Moonbeam團隊于5月27日收到一份Immunefi錯誤報告,涉及Frontier(Moonbeam幫助創建的波卡生態系統內提供核心以太坊兼容性功能的Substrate pallet)中的潛在安全漏洞。runtime1503雖然消除了該漏洞,但它引入了一個意外錯誤,該錯誤在晚些時候使用runtime1504進行了修補。[2022/6/1 3:55:27]

此次漏洞共導致RVN增發3.01億枚,相當于原有210億總供應量的1.44%,已有供應量的4.6%。

推特稱在BTC黑客事件中黑客在員工中獲得支持工具:推特更新了比特幣黑客事件的最新信息,稱黑客在員工中獲得了支持工具,攻擊者下載了7個賬戶的推特數據。(金十)[2020/7/31]

根據追蹤,大量增發的RVN被拆開發往不同的地址,并最終轉到了交易所,官方定位到了以下3個地址:

RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK

RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8

RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs

RVN團隊表示已經追蹤到其中一個黑客團隊的線索,并已經掌握攻擊者的信息,希望其將增發的RVN轉至特定的地址進行銷毀。RVN團隊稱已有總計約390萬枚增發的RVN被銷毀。

聲音 | 聯合國專家小組:朝鮮黑客大量竊取加密貨幣 涉及資金超5億美元:據日經亞洲評論消息,據聯合國安理會的一個專家小組稱,朝鮮利用網絡攻擊和區塊鏈技術規避經濟制裁,獲取外匯和加密貨幣。該小組對安理會表示,朝鮮通過網絡盜竊方式已經積累了大約6.7億美元的外匯和虛擬貨幣,并使用區塊鏈技術來掩蓋其蹤跡。專家小組同時表示,虛擬貨幣存在多次洗錢的可能,因此會變得更難追蹤,且不受政府監管。該小組估計,2017年1月至2018年9月期間,朝鮮已至少對亞洲的加密貨幣交易所發起了五次攻擊,其損失總額高達5.71億美元。[2019/3/8]

此外,官方團隊沒有通過類似ETH硬分叉的形式來解決攻擊,而是間接承認了這些增發幣的有效性。為了保證總供應量不變,官方給出的建議方案是降低未來挖礦總收益,不過這個方案還需要得到社區的認可,并最終通過鏈上BIP9升級后才能生效。

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”,慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊,但以太坊上智能合約不受影響,因為以太坊網絡Gas值尚在正常范圍內。目前,Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證,用戶需等待5秒才能訪問網站。據悉,5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

此次漏洞除了增加RVN的通脹率之外,不會影響用戶已有的RVN資產和轉賬。

RVN原有發行總量為210億,出塊時間為1分鐘,目前的區塊獎勵為5,000個RVN,每210萬個區塊后獎勵會減半,也就是約4年減半一次。根據官方目前給出的方案,每次減半將比之前提前59,580個區塊。

攻擊者行為復盤

1月16日,名為WindowsCryptoDev的開發人員在RavencoinGithub提交了一個PR,表面看起來是在完善節點返回的報錯信息,該PR很快就得到了Ravencoin官方人員的反饋,并合并進主分支。

PR詳情

原先的代碼,對于asset相關的交易,只要交易的RVNoutputvalue不是0,都會返回“bad-txns-asset-tx-amount-isn't-zero”報錯信息。

該PR針對不同的asset交易類型進行了報錯信息優化,表面看起來是為了方便開發者區分具體的報錯原因,但是黑客留了一個后門,即沒有針對TX_REISSUE_ASSET進行報錯信息優化。注意,這樣帶來的后果不僅僅是報錯信息不可分辨,而是將原本不合法的交易判斷為合法的交易,最終導致了RVN的增發。

1月17日,黑客在Ravencoin主網持續發布TX_ISSUE_ASSET交易,為后續的TX_REISSUE_ASSET攻擊提供基礎。

5月9日,黑客開始每隔2小時在Ravencoin主網發起一個TX_REISSUE_ASSET交易,增發500,000RVN到自己的地址,該行為一直持續到?7月3日,此時黑客察覺到官方已經準備對bug進行修復。

7月4日,主網上還出現了3筆新的攻擊交易,增發了兩筆1,000,000RVN和一筆2,804,398RVN,不過這3筆攻擊交易應該都不是之前的黑客所為。

從SolusExplorer統計來看,最終總增發量為301,804,400RVN,也就是超過3.01億RVN。

安全提示

雖然此次漏洞只影響了Ravencoin網絡,但是還有很多其它區塊鏈系統也遇到過類似的安全問題。例如Bitcoin曾經在2018年被爆出過類似嚴重的安全漏洞,攻擊窗口從2017年10月持續到2018年8月,同時影響了所有2017年10月之后基于Bitcoin代碼開發的新幣種。不過當時的bug并不是黑客惡意引入,而是開發人員的錯誤導致,值得慶幸的是,該bug在被開發人員修復之前沒有被任何黑客利用。

對于區塊鏈開源項目來說,代碼貢獻者的技術能力、貢獻動機等因素都存在諸多不確定性,因此在代碼review上需要核心開發團隊把好關。

Tags:RVNOINCOICOINrvn幣怎么挖礦HDDcoinMESSI COINIno Coin

世界幣
黨媒:近400家涉區塊鏈企業在武漢掘金,茅臺假不假一掃就知道_FORK

來源:長江日報,原題《近400家涉區塊鏈企業在漢掘金》 記者李佳?通訊員王少雨 防偽碼有沒有可能造假?有!武漢市云鏈智慧區塊鏈科技有限公司創始人兼董事長徐剛近日介紹,利用區塊鏈技術.

1900/1/1 0:00:00
觀點|從狗幣的火爆中尋找“幣圈新常態”_比特幣

人生中經常會遇到一些令人無法理解的事情。尤其是在容易受到感性影響的社會、文化領域,這樣的時間更是不勝枚舉。加密貨幣市場的“狗幣”成為了幣圈文化的象征.

1900/1/1 0:00:00
DeFi狂熱導致以太坊交易費一周上漲30.3%,終究成為甜蜜的煩惱_DEF

要點: 根據CoinMetrics的最新報告,DeFi導致以太坊交易費上漲。在過去的一周里,由于需求增加,以太坊交易費上漲了30.3%.

1900/1/1 0:00:00
比推獨家對話V神 “ 一切皆有可能!”_TALI

從以太坊2.0到人類永生,26歲的V神?VitalikButerin?都非常樂觀。作為以太坊的創始人他認為區塊鏈是在互聯網基礎上的進化演變,雖然不是革命性的力量但是也將為社會帶來巨大價值.

1900/1/1 0:00:00
巴比特專欄 | 區塊鏈的安全,誰來保障?_區塊鏈

作者:Larry,黃連金近幾年,區塊鏈技術的發展非常迅猛,安全形勢也越來越嚴峻,僅安全事件導致的直接經濟損失就高達幾十億美元,給行業帶來了巨大的經濟損失和慘痛的教訓.

1900/1/1 0:00:00
Telegram放棄了TON測試網,但獨立項目帶來了新希望_TEL

在7月初,Telegram宣布將停止對Telegram開放網絡的測試網絡的支持,這似乎是Telegram永久退出其區塊鏈項目的又一個跡象.

1900/1/1 0:00:00
ads