比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Fil > Info

慢霧安全預警:Solana上出現多起授權釣魚事件,請勿掉以輕心_BLO

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投NFT(圖1),用戶通過空投NFT描述內容里的鏈接(www_officialsolanarares_net)進入目標網站,連接錢包(圖2),點擊頁面上的“Mint”,出現批準提示框(圖3)。注意,此時的批準提示框并沒有什么特別提示,當批準后,該錢包里的所有SOL都會被轉走。當點擊“批準”時,用戶會和攻擊者部署的惡意合約交互:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

聲音 | 慢霧安全團隊:建議檢查充值所在的區塊來避免回滾交易攻擊:據 IMEOS 報道,針對凌晨出現的 BetDice 等大量頭部 DApp 遭受回滾交易攻擊的情況,慢霧安全團隊建議 EOS 交易所及中心化錢包在通過 RPC 接口 get_actions 處理熱錢包充值記錄時,應檢查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆區塊),如果 block_num 大于 last_irreversible_block 則表示該區塊仍然是可逆的,存在“假充值”風險。[2018/12/19]

該惡意合約的功能最終就是發起“SOLTransfer”,將用戶的SOL幾乎全部轉走。從鏈上信息來看,該釣魚行為已經持續了幾天,中招者在不斷增加。

動態 | 慢霧安全團隊推出 EOS 合約驗證平臺:據IMEOS報道,慢霧安全團隊推出 EOS 合約驗證平臺,希望借此為區塊鏈世界構建一個更加安全的生態環境。該功能包括:

1.用戶可對已驗證 EOS 合約賬戶的源代碼進行查詢;

2.項目方可自行上傳源代碼進行一致性校驗。[2018/8/14]

提醒:1.惡意合約在用戶批準(Approve)后,可以轉走用戶的原生資產(這里是SOL),這點在以太坊上是不可能的,以太坊的授權釣魚釣不走以太坊的原生資產(ETH),但可以釣走其上的Token。于是這里就存在“常識違背”現象,導致用戶容易掉以輕心。

分析 | 慢霧安全團隊提醒|EOS假賬號安全風險預警:根據IMEOS報道,EOS 假賬號安全風險預警,慢霧安全團隊提醒:

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷,比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功,那么就可能出現假賬號攻擊。

攻擊示意如下:

1. 用戶使用某款 EOS 錢包注冊賬號(比如 aaaabbbbcccc),錢包提示注冊成功,但由于判斷不嚴格,這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡,都可能再搶注 aaaabbbbcccc 這個賬號,導致用戶提現到一個已經不是自己賬號的賬號里

防御建議:輪詢節點,返回不可逆區塊信息再提示成功,具體技術過程如下:

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

2.Solana最知名的錢包Phantom在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試),沒有給用戶完備的風險提醒。這非常容易造成安全盲區,導致用戶丟幣。

Tags:EOSSOLBLOCBLOPIXEOSVSOLAirblocArt Blocks Curated Full Set

Fil
Vitalik: 關于兩個slot的提議者/構建者分離方案的具體設計

來源|ethresear.ch作者|VitalikButerin翻譯|EthereumCN原標題:《Vitalik:兩個slot的提議者/構建者分離方案》譯者注:目前新的分片方案Dankshar.

1900/1/1 0:00:00
突發 | 鯨探永久封禁真的來了_TEN

來源:元飛船 昨日,我們在推文就重點關注了鯨探3月19日更新的《螞蟻鏈數字藏品平臺用戶服務協議》,新用戶協議明顯加強了對違規行為的打擊力度,同時也加重了相應的處罰力度.

1900/1/1 0:00:00
鏈游平臺C2X以5億美元估值完成2500萬美元私募融資_TUR

據雅虎金融3月18日消息,基于Terra區塊鏈的通用區塊鏈游戲平臺C2X的運營商MetaMagnetLtd.以5億美元估值完成2500萬美元私募融資.

1900/1/1 0:00:00
The Block:拜登加密行政法令說明文件曝光,首次提出“官方全員”進行加密資產及技術的風險與利弊評估_FIL

據TheBlock3月9日消息,被提前曝光的一份有關拜登即將簽署的加密行政法令的說明文件顯示,該命令將首次提及要求“官方全員”針對加密資產及技術的風險與利弊進行評估.

1900/1/1 0:00:00
觀點丨Rollup的終局瓶頸是歷史數據的存儲_ROLL

注:原文作者為L2研究者Polynya,以下為全文編譯。目前,單片區塊鏈存在一個明顯的瓶頸:狀態增長,而對此的直接解決方案是無狀態、有效性證明、狀態到期和PBS.

1900/1/1 0:00:00
俄羅斯會使用比特幣躲避經濟制裁?烏克蘭副總理對此很擔憂_CRYP

北京時間2月28消息,烏克蘭副總理MykhailoFedorov因擔心俄羅斯利用比特幣等加密貨幣躲避經濟制裁,其于今日發推文請求主流加密資產交易所凍結俄羅斯用戶的地址.

1900/1/1 0:00:00
ads