BTC/HKD+0.11%
ETH/HKD+0.62%
LTC/HKD+0.48%
ADA/HKD-0.15%
SOL/HKD-0.88%
XRP/HKD-0.28%8月3日消息,據慢霧區情報,Solana公鏈上發生大規模盜幣事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤分析:
已知攻擊者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
目前攻擊仍在進行,從交易特征上看,攻擊者在沒有使用攻擊合約的情況下,對賬號進行簽名轉賬,初步判斷是私鑰泄露。不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測可能問題出現在軟件供應鏈上。在新證據被發現前,我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置,等待事件分析結果。
其它快訊:
慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。
2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。
3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB
4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。
5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。
6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。
7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。
此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[6/8/2022 11:32:49 AM]
慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[12/10/2021 11:26:01 PM]
慢霧: 警惕比特幣RBF風險:據BitMEX消息,比特幣于區塊高度666833出現陳腐區塊,并產生了一筆 0.00062063 BTC 的雙花交易。根據 BitMEX提供的交易內容來看,雙花的兩筆交易的nSequence字段的值都小于0xffffffff -1。慢霧安全團隊初步認為此次雙花交易有可能是比特幣中的RBF交易。[1/20/2021 4:38:01 PM]
8月3日消息,加拿大安大略省證券委員會(OSC)警告安大略省投資者,該省有多個公司未在安大略省注冊從事證券交易或提供咨詢服務.
Block Chain:8/3/2022 3:10:57 AM8月3日消息,Solana生態錢包Phantom在社交媒體上發文表示正在與其他團隊密切合作,以查明報告的Solana生態系統漏洞。目前,團隊認為這不是Phantom特有的問題。一旦收集到更多信息,將發布更新.
Block Chain:8/3/2022 3:10:56 AM8月3日消息,Lifeform完成數百萬美元種子輪融資,由Binance Labs領投。其前種子輪由Geekcartel獨家投資。據悉,Lifeform是去中心化數字身份解決方案提供商.
Block Chain:8/3/2022 3:10:55 AM8月3日消息,以太坊L2 NFT平臺Mint Square宣布上線StarkNet主網。用戶可通過Argent X錢包和Braavos錢包登錄平臺,并進行NFT鑄造.
Block Chain:8/3/2022 3:10:53 AM8月3日消息,區塊鏈審計安全團隊OtterSec在社交媒體上發文表示,過去幾個小時內有超過5000個Solana錢包資金被盜取,OtterSec分析顯示,這些交易是由實際所有者簽署,表明存在私鑰泄露.
Block Chain:8/3/2022 3:10:52 AM8月3日消息,STEPN在其社交平臺提醒用戶檢查各自賬戶資產是否安全。如果用戶曾將非托管錢包導入STEPN或從STEPN導出,建議用戶將資產從該錢包中轉出,并在STEPN app中生成新的非托管錢包以保證安全.
Block Chain:8/3/2022 3:10:51 AM8月3日消息,Solana Status官方在社交媒體上發文表示,來自多個生態系統的工程師正在幾家安全公司的幫助下調查本次大規模錢包被盜事件,目前沒有證據表明硬件錢包會受到影響,調查獲得進展將盡快公布后續信息.
Block Chain:8/3/2022 3:10:49 AM8月3日消息,Layer2互操作性協議Connext針對Nomad合約漏洞事件發推表示,雖然4月Connext稱其正在進行網絡升級,以允許Connext使用Nomad基礎設施進行通用消息傳遞,但此更改仍在測試網上,因此.
Block Chain:8/3/2022 3:10:47 AM8月3日消息,Ava Labs創始人Emin Gün Sirer在社交媒體表示,目前在針對Solana生態系統的持續攻擊中,已經有7000多個錢包受到影響,并且正在以20/min的速度增長.
Block Chain:8/3/2022 3:10:46 AM據官方公告,Bitfinex宣布其用戶可以在平臺上免費使用Santiment。Santiment是一個金融市場數據和內容平臺,提供分析加密市場和發現數據驅動機會以優化投資的工具.
Block Chain:8/3/2022 3:10:45 AM8月3日消息,法律專家表示,推特正在尋找證據,以證明馬斯克曾試圖破壞融資計劃,導致收購交易無法完成。此外,該公司還在調查馬斯克放棄該交易的動機.
Block Chain:8/3/2022 3:10:44 AM8月3日消息,Tether(USDT)流通供應量在經歷近三個月的減少后開始增加,這可能是加密市場正在緩慢復蘇的一個跡象。 據CoinMarketCap數據,近三個月來的第一個鑄幣出現在上周五,之后又有三次,最近一次發...
Block Chain:8/3/2022 3:10:42 AM