6月29日,SolusExplorer開發團隊CryptoScope的一個程序員在回歸測試時,發現瀏覽器統計的RVN余額出了問題,在深入排查問題后,他確認主網出現了很多異常的RVN增發操作,隨后快速聯系Ravencoin官方團隊成員反饋了這個bug。
在與RVN開發團隊溝通后,CryptoScope決定暫時關閉SolusExplorer的部分入口,以降低其他攻擊者利用漏洞的可能性,為官方團隊解決問題贏得了一定時間。
7月3日,RVN團隊向社區發布了緊急更新,并最終于7月4日在1,304,352區塊上對Ravencoin網絡進行了程序修復。
7月8日,RVN官方解釋稱,本次漏洞是由于黑客提交的惡意PR引入的bug導致。
Transit Swap:已確定黑客IP、電郵地址及相關鏈上地址:10月2日消息,加密錢包Token Pocket旗下閃兌交易DEX Transit Swap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客 IP、電子郵件地址,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
金色財經此前報道,據CertiK監測,跨鏈DEX聚合器Transit Swap遭受攻擊,導致用戶的資金從錢包中被取出。到目前為止,損失估計約為2000萬美元(約49815枚BNB和約5182枚ETH)。該項目目前已暫停運營。[2022/10/2 18:37:29]
此次漏洞共導致RVN增發3.01億枚,相當于原有210億總供應量的1.44%,已有供應量的4.6%。
Chainge橙子錢包:愿意提供技術支持以圍堵黑客盜幣:針對晚間Poly Network的跨鏈池發生黑客盜幣事件,Chainge創始人錢德君攜去中心化跨鏈核心技術擁有方Fusion、跨鏈漫游服務商Chainge及跨鏈橋技術服務商Anyswap公開發推文稱,愿意提供技術支持以共同圍堵黑客盜幣。[2021/8/10 1:46:48]
根據追蹤,大量增發的RVN被拆開發往不同的地址,并最終轉到了交易所,官方定位到了以下3個地址:
RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK
RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8
日本對疑似Coincheck被盜事件中黑客展開質詢:上周六日本警視廳網絡犯罪科對一名日本男子展開質詢,該男子疑似與Coincheck被盜事件有關。偵測到,該男子將少量被盜的NEM在名為\"暗網\"的匿名網站交易成LTC。不過,日最后稱該男子與黑客事件無關,并允許其離開。[2018/2/12]
RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs
RVN團隊表示已經追蹤到其中一個黑客團隊的線索,并已經掌握攻擊者的信息,希望其將增發的RVN轉至特定的地址進行銷毀。RVN團隊稱已有總計約390萬枚增發的RVN被銷毀。
此外,官方團隊沒有通過類似ETH硬分叉的形式來解決攻擊,而是間接承認了這些增發幣的有效性。為了保證總供應量不變,官方給出的建議方案是降低未來挖礦總收益,不過這個方案還需要得到社區的認可,并最終通過鏈上BIP9升級后才能生效。
黑客受訪稱:針對數字貨幣的黑色產業鏈將徹底形成 99%的用戶將陷入不安全之中:據一本財經文章報道,在近日受訪的某黑客稱,將有99%的黑客會轉戰數字貨幣領域,他們集體作戰、信息收集、入侵潛伏、“黑箱”洗幣等,會形成一條完整的產業鏈。
核心原因是:數字貨幣領域尚處在灰色地帶,很多國家并未合法化。黑客通常將成立3個月左右的交易所作為最佳攻擊目標。他們將幣偷走有兩個方式,一是找到交易所的“幣池,將幣劃走;另一個方式是找到一些用戶錢包的賬號密碼,將提幣地址改成自己的。他們通常只會偷主流數字貨幣,比如比特幣、以太坊、萊特幣等。盜幣后,他們直接將錢包隔離網絡,等到風聲過去再變現。膽大的會直接換成錢和不動產。另外,在多個交易所之間“洗幣”是最新趨勢。黑客Air稱,隨著數字貨幣有集中化趨勢,他們正在嘗試通過撞庫、釣魚等方式,拿到這些大佬在交易所上的賬號和密碼。Air預估,今年下半年,針對數字貨幣的黑色產業鏈將徹底形成。屆時,99%的用戶將陷入不安全之中。[2018/2/12]
此次漏洞除了增加RVN的通脹率之外,不會影響用戶已有的RVN資產和轉賬。
RVN原有發行總量為210億,出塊時間為1分鐘,目前的區塊獎勵為5,000個RVN,每210萬個區塊后獎勵會減半,也就是約4年減半一次。根據官方目前給出的方案,每次減半將比之前提前59,580個區塊。
攻擊者行為復盤
1月16日,名為WindowsCryptoDev的開發人員在RavencoinGithub提交了一個PR,表面看起來是在完善節點返回的報錯信息,該PR很快就得到了Ravencoin官方人員的反饋,并合并進主分支。
PR詳情
原先的代碼,對于asset相關的交易,只要交易的RVNoutputvalue不是0,都會返回“bad-txns-asset-tx-amount-isn't-zero”報錯信息。
該PR針對不同的asset交易類型進行了報錯信息優化,表面看起來是為了方便開發者區分具體的報錯原因,但是黑客留了一個后門,即沒有針對TX_REISSUE_ASSET進行報錯信息優化。注意,這樣帶來的后果不僅僅是報錯信息不可分辨,而是將原本不合法的交易判斷為合法的交易,最終導致了RVN的增發。
1月17日,黑客在Ravencoin主網持續發布TX_ISSUE_ASSET交易,為后續的TX_REISSUE_ASSET攻擊提供基礎。
5月9日,黑客開始每隔2小時在Ravencoin主網發起一個TX_REISSUE_ASSET交易,增發500,000RVN到自己的地址,該行為一直持續到?7月3日,此時黑客察覺到官方已經準備對bug進行修復。
7月4日,主網上還出現了3筆新的攻擊交易,增發了兩筆1,000,000RVN和一筆2,804,398RVN,不過這3筆攻擊交易應該都不是之前的黑客所為。
從SolusExplorer統計來看,最終總增發量為301,804,400RVN,也就是超過3.01億RVN。
安全提示
雖然此次漏洞只影響了Ravencoin網絡,但是還有很多其它區塊鏈系統也遇到過類似的安全問題。例如Bitcoin曾經在2018年被爆出過類似嚴重的安全漏洞,攻擊窗口從2017年10月持續到2018年8月,同時影響了所有2017年10月之后基于Bitcoin代碼開發的新幣種。不過當時的bug并不是黑客惡意引入,而是開發人員的錯誤導致,值得慶幸的是,該bug在被開發人員修復之前沒有被任何黑客利用。
對于區塊鏈開源項目來說,代碼貢獻者的技術能力、貢獻動機等因素都存在諸多不確定性,因此在代碼review上需要核心開發團隊把好關。
Tags:RVNCOICOINOINrvn幣為什么都不漲Tremendous Coincoinwapp下載Pixl Coin
轉自:碳鏈價值 作者:MarketResearch 翻譯:Liam 我們最近一直在思考DeFi領域如何發展,以及如何跟隨更廣泛的科技行業趨勢.
1900/1/1 0:00:007月6日,由杭州市余杭區政府指導,杭州未來科技城管委會、巴比特主辦的“2020杭州區塊鏈國際周”進入第二天議程.
1900/1/1 0:00:00在近來大熱吸睛的DeFi版塊中,預言機項目Chainlink的代幣Link無疑是最耀眼的主角——一個月內漲幅高達250%,6號以來日線更是幾乎走出了90°的步伐.
1900/1/1 0:00:00投稿|阿佩索 出品|深潮TechFlow其耆欲深者,其天機淺。——《莊子·大宗師》開門見山,筆者認為:Filecoin短期內易崩盤,長期內難以落地.
1900/1/1 0:00:00作為一家新型金融服務公司,Circle曾寄希望于通過CirclePay打通法幣與加密貨幣的交易和轉化,建立一個真正全球化的支付網絡.
1900/1/1 0:00:00據日本共同社報道,20日,七國集團基本決定將就發行央行數字貨幣展開合作。G7擬于8月底9月上旬在美國舉行首腦會議,將討論中國“數字人民幣”作為國際性結算手段推廣的情況、國家掌握用戶購買歷史等個人.
1900/1/1 0:00:00