慢霧創始人余弦發推表示,如果用了TrustWallet瀏覽器擴展且在2022年11月14日至23日期間創建了錢包,那么這個錢包就存在風險。本質原因是當時TrustWallet瀏覽器擴展使用的MT19937偽隨機數生成器沒有提供足夠的隨機性,導致私鑰可以被破解。目前TrustWallet已披露該風險,所幸損失小。
慢霧:NimbusPlatform遭遇閃電貸攻擊,損失278枚BNB:據慢霧安全團隊情報,2022 年 12 月 14 日, BSC 鏈上的NimbusPlatform項目遭到攻擊,攻擊者獲利約278枚BNB。慢霧安全團隊以簡訊的形式分享如下:
1. 攻擊者首先在 8 天前執行了一筆交易(0x7d2d8d),把 20 枚 BNB 換成 NBU_WBNB 再換成 GNIMB 代幣,然后把 GNIMB 代幣轉入 Staking 合約作質押,為攻擊作準備;
2. 在 8 天后正式發起攻擊交易(0x42f56d3),首先通過閃電貸借出 75477 枚 BNB 并換成 NBU_WBNB,然后再用這些 NBU_WBNB 代幣將池子里的絕大部分 NIMB 代幣兌換出;
3. 接著調用 Staking 合約的 getReward 函數進行獎勵的提取,獎勵的計算是和 rate 的值正相關的,而 rate 的值則取決于池子中 NIMB 代幣和 GNIMB 代幣的價格,由于 NIMB 代幣的價格是根據上一步閃電貸中被操控的池子中的代幣數量來計算的,導致其由于閃電貸兌換出大量的代幣而變高,最后計算的獎勵也會更多;
4. 攻擊者最后將最后獲得的 GNIMB 代幣和擁有的 NIMB 代幣換成 NBU_WBNB 代幣后再換成 BNB,歸還閃電貸獲利;
此次攻擊的主要原因在于計算獎勵的時候僅取決于池子中的代幣數量導致被閃電貸操控,從而獲取比預期更多的獎勵。慢霧安全團隊建議在進行代幣獎計算時應確保價格來源的安全性。[2022/12/14 21:44:29]
TrustWallet稱,事件發生后,TrustWallet迅速修補了漏洞,所有在這些日期之后創建的地址都是安全的。不過,TrustWallet仍然檢測到兩起攻擊,攻擊共造成了約17萬美元的損失。對此,TrustWallet將補償因漏洞導致的黑客攻擊而造成的符合條件的損失,并為受影響的用戶創建了補償流程。目前受影響地址剩余的總余額約為8.8萬美元。TrustWallet敦促受影響的用戶盡快轉移資金。避免使用他人提供的地址。
動態 | 慢霧區發布XRP假充值漏洞預警:據慢霧區披露,瑞波幣(XRP)存在假充值漏洞(類似于之前披露的 USDT 及以太坊代幣假充值漏洞),已有真實攻擊在發生,一旦攻擊成功,會非常嚴重。[2018/7/30]
金色獨家 慢霧安全團隊:有至少6種途徑導致 EOS 私鑰被盜:針對 EOS 私鑰被盜事件,金色財經特邀請慢霧安全團隊對此事進行解讀,慢霧安全團隊表示:EOS 投票關鍵期頻發私鑰被盜問題,慢霧安全團隊綜合 Joinsec Red Team 攻防經驗及地下黑客威脅情報分析,可能的被盜途徑有:
1、使用了不安全的映射工具,映射使用的公私鑰是工具開發者(攻擊者)控制的,當 EOS 主網上線后,攻擊者隨即 updateauth 更新公私鑰;
2、映射工具在網絡傳輸時沒有使用 SSL 加密,攻擊者通過中間人的方式替換了映射使用的公私鑰;
3、使用了不安全的 EOS 超級節點投票工具,工具開發者(攻擊者)竊取了 EOS 私鑰;
4、在不安全的 EOS “主網”、錢包上導入了私鑰,攻擊者竊取了 EOS 私鑰;
5、用戶存儲私鑰的媒介不安全,例如郵箱、備忘錄等,可能存在弱口令被攻擊者登錄竊取到私鑰;
6、在手機、電腦上復制私鑰時,被惡意軟件竊取。
同時,慢霧安全團隊提醒用戶自查資產,可使用公鑰(EOS開頭的字符串)在 https://eosflare.io/ 查詢關聯的賬號是否無誤,余額是否準確。如果發現異常并確認是被盜了,可參考 EOS 佳能社區 Bean 整理的文檔進行操作 https://bihu.com/article/654254[2018/6/14]
據TechCrunch報道,由Coinbase首席執行官BrianArmstrong聯合創立的專注于人類生命延長領域發展的生物科技公司NewLimit完成4000萬美元A輪融資.
1900/1/1 0:00:00消息應用Telegram連續出擊,其ICO盤子也越做越大。過去幾個月里,TelegramCEO帕維爾·杜羅夫說服81名投資人,包括硅谷巨頭紅杉資本和Benchmark,促使公司在ICO預售期完成.
1900/1/1 0:00:00據News.bitcoin報道,本周NFT銷售額激增7.74%,總計1.8182億美元。數據還顯示,NFT買家在一周內增加了41%,超過了前一周記錄的買家數量.
1900/1/1 0:00:00DeFi協議DEUS發推文稱:“對于從今天DEI漏洞利用期間能夠挽救資金的所有白帽黑客,我們確認0x7f5ae1dc8d2b5d599409c57978d21cf596d37996是DEUS團隊.
1900/1/1 0:00:00頭條 美國財政部官網:美國公民禁止購買委內瑞拉發行的數字貨幣美國財政部在官方網站上發表公開回應稱,委內瑞拉發行的數字貨幣應被視為基于政府信用的債券.
1900/1/1 0:00:00據CoinDesk報道,ROOK維權投資者組成的新實體IncubatorDAO已與RookDAO實際運營者RookLabs達成協議,將通過購買RookLabs約60%的金庫的管理權.
1900/1/1 0:00:00