慢霧分析 Poly Network 被黑：跨鏈合約 keeper 被修改為黑客制定地址_ROS

鏈聞消息，針對跨鏈互操作協議PolyNetwork被黑客攻擊的事件，慢霧安全團隊分析稱是由于跨鏈合約keeper被修改為黑客制定地址，從而使黑客可以隨意構造交易從合約中取出任意數量的資金，具體如下：1.本次攻擊的核心在于EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。2.由于EthCrossChainData合約的owner為EthCrossChainManager合約，因此EthCrossChainManager合約可以通過調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數修改合約的keeper。3.其中EthCrossChainManager合約的verifyHeaderAndExecuteTx函數是可以通過內部調用_executeCrossChainTx函數執行用戶指定的跨鏈交易，所以攻擊者只需要通過verifyHeaderAndExecuteTx函數傳入精心構造的數據來使_executeCrossChainTx函數執行調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數以改變keeper角色為攻擊者指定的地址。4.替換完成keeper角色地址后，攻擊者即可隨意構造交易從合約中取出任意數量的資金了。

慢霧科技啟富：慢霧將與 HyperPay 團隊持續保持密切戰略合作:11月6日消息，慢霧科技合伙人啟富在做客《HyperPay焦點》欄目時提及：數字貨幣的安全問題一直是用戶最關心的問題。HyperPay 作為一款錢包更是應該重視安全。數字資產錢包關聯的私鑰意味著數字資產的所有權，私鑰的安全性直接決定數字資產的安全性。之前 HyperPay 錢包也全項通過了慢霧科技錢包安全審計，希望 HyperPay 繼續保持高效安全，融合更多的功能打造出一款具有革命性和獨創性的區塊鏈錢包產品。慢霧希望與 HyperPay 團隊持續保持密切戰略合作，共同維護區塊鏈生態安全。[2020/11/6 11:51:16]

慢霧余弦：哪怕安全審計過的DeFi都可能存在權限過大風險:慢霧科技創始人今日發微博稱，哪怕安全審計過的DeFi都可能存在權限過大風險，“權限過大”一直以來是個爭議，就看這些權限是什么，比如常見的：鑄幣、銷毀、升級、關鍵數值調整、關鍵權限變更、關鍵風控等等，“權限過大”極端了就可能就成為某種“后門”，這個是需要警惕的。DeFi項目方有責任解釋“權限過大”的意圖，透明出來；安全審計公司也有義務。[2020/9/2]

動態 | 慢霧安全團隊推出 EOS 合約驗證平臺:據IMEOS報道，慢霧安全團隊推出 EOS 合約驗證平臺，希望借此為區塊鏈世界構建一個更加安全的生態環境。該功能包括：

1.用戶可對已驗證 EOS 合約賬戶的源代碼進行查詢；

2.項目方可自行上傳源代碼進行一致性校驗。[2018/8/14]

Tags：ROSAINCROSChainRoshamboRechargepay ChainHOTCROSSchain幣挖礦機

Uniswap