木星链 木星链
Ctrl+D收藏木星链
首页 > DOGE > 正文

HTT:首发 | 丧心病狂再“炸桥”?又一跨链桥项目遭袭 Meter.io损失420万美元

作者:

时间:1900/1/1 0:00:00

北京时间2022年2月6日,Meter Passport跨链桥项目被恶意利用,造成420万美元的损失。项目方发布的推特原文:

这是继昨日CertiK发布的Solana跨链桥虫洞项目被攻击事件分析后的又一起黑客袭击跨链桥项目事件。

虚假存款:

https://bscscan.com/tx/0x63f37aff7e40b85b0a6b3fd414389f6011cc09b276dc8e13b6afa19061f7ed8e

https://etherscan.io/tx/0x2d3987963b77159cfe4f820532d729b0364c7f05511f23547765c75b110b629c

LBank蓝贝壳于5月3日20:00首发 CSPR(Casper),开放USDT交易:据官方公告,5月3日20:00,LBank蓝贝壳上线 CSPR(Casper),开放USDT交易,同时并开放充值,资料显示,Casper网络是基于CasperCBC规范构建的第一个实时权益证明区块链。Casper旨在加速当今企业和开发人员对区块链技术的采用,同时确保随着网络参与者需求的发展,其在未来仍能保持高性能。[2021/5/3 21:19:51]

https://bscscan.com/tx/0xc7eb98e00d21ec2025fd97b8a84af141325531c0b54aacc37633514f2fd8ffdc

https://etherscan.io/tx/0xdfea6413c7eb3068093dcbbe65bcc9ba635e227c35e57fe482bb5923c89e31f7

https://bscscan.com/tx/0x5d7cd17bfeb944390667c76f4fc2786f748dc3eb363c01c24b92becaaf5690b4

LBank蓝贝壳于4月10日01:00首发 BOSON,开放USDT交易:据官方公告,4月10日01:00,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日23:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月10日01:00开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/7 19:54:33]

铸币:

https://bscscan.com/tx/0xf70b4aa715c0a04079c56cd9036cc63cdb6101e400520a8f2c019ad2ced5358e

https://moonriver.moonscan.io/tx/0x689ff22ebf7f7aa6ecf0d60345979855442a09dfb7439c8553b2369e6e130409

首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道,今日,中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。

区块链技术及软件安全实战基地主要涉及领域为:非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等,联合社会治理、城市安全、前沿技术领域的行业专家,进行警协合作。

据公开报道,近期菏泽市下属机关刚破获一起特大电信网络案,打掉多个涉嫌以网贷和投资“比特币”为名的团伙,抓获犯罪嫌疑人83名,扣押冻结涉案资金2700万元。[2020/7/21]

https://etherscan.io/tx/0xd619ace8a8cca2f7eb72dbc0a896fc2d4d8b20aa11f4d747f1a5333305bbb875

https://moonriver.moonscan.io/tx/0xc7f764644e9af42714d98763b7e8dcf5e1de6b855b63e2c6ff2438e09b61ccc7

首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现,北京时间10月24日,17:07分发生了一笔18000枚BTC的转账,经分析,这实际上是交易所Bithumb的内部整理工作,将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常,对各种“面值”的UTXO进行整数级别的整理,属于交易所的规律性操作。[2019/10/24]

黑客链上转账记录:

https://debank.com/profile/0x8d3d13cac607b7297ff61a5e1e71072758af4d01/history

转账地址:

Bridge

以太坊:https://etherscan.io/address/0xa2a22b46b8df38cd7c55e6bf32ea5a32637cf2b1 

IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]

币安智能链:https://bscscan.com/address/0xfd55ebc7bbde603a048648c6eab8775c997c1001

Moonriver (moonbream):https://moonriver.moonscan.io/address/0xf41e7fc4ec990298d36f667b93951c9dba65224e 

ERC20Handler

Ethereum:https://etherscan.io/address/0xde4fc7c3c5e7be3f16506fcc790a8d93f8ca0b40 

BSC:https://bscscan.com/address/0x5945241bbb68b4454bb67bd2b069e74c09ac3d51

步骤一:攻击者调用`Bridge.deposit()`函数,将0.008BNB存入连接到多个链的合约Bridge,包括币安智能链、以太坊以及Moonriver(两次)。 

在函数调用`Bridge.deposit()中,攻击者注入了以下恶意数据:

步骤二:`Bridge.deposit()`调用了`ERC20Handler.deposit()`函数,输入内容如下:

步骤三:由于输入的resourceID是 "0x000000000000bb4cdb9cbd36b01bd1cbaebf2de08d9173bc095c01”,token地址将为`0xbb4cdb9cbd36b01bd1cbaebf2de08d9173bc095c`,这与`_wtokenAddress`相同。

步骤四:这种情况下,一旦该指令通过,将导致攻击者实际上不需要向合约转移任何代币即可获得。

步骤五:因此,攻击者可以在其他链上铸造 "数据 "中指定的任何相同数量的代币。

一般来说deposit()用于ERC20代币的存款,depositETH()用于WETH/WBNB代币的存款。Bridge合约提供了两个方法:deposit()和 depositETH()。

然而,这两个方法造成了相同事件,并且deposit() 函数并没有阻止WETH/WBNB的存款交易,因为deposit()没有烧毁或锁定WETH/WBNB。黑客通过使用deposit()来制作假的存款事件,在没有任何真实存款的情况下,将WETH/WBNB存入。

黑客地址:

几乎所有的资产都已转移到Tornado。

这一事件与前不久发生的Qubit事件非常相似。一个黑客事件的发生往往会使更多别有用心之人关注类似项目中是否有类似的漏洞可以利用。

因此,项目方的技术团队应及时关注已发生的安全事件,并且检查自己的项目中是否存在类似问题。

目前,CertiK官网[https://www.certik.com/]已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及rugpull相关的各种社群预警信息。

作为区块链安全领域的领军者,CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止,CertiK已获得了2500家企业客户的认可,保护了超过3110亿美元的数字资免受损失。

标签:HTTTPSSCANCANCHTThttps://etherscan.ioYFSCANbitcoincandy

DOGE热门资讯
NFT:BAYC无聊猿游艇俱乐部终于回应了新纳粹主义的指控

有些时候,感觉整个互联网都疯了。从Twitter到电视午夜档,超火爆的无聊猿游艇俱乐部(BAYC)NFT系列随处可见.

1900/1/1 0:00:00
元宇宙:“元宇宙”何以成为横跨科技、金融、社会多个层面的“破圈”热词?

近期,“元宇宙”被写入了《上海市电子信息产业发展“十四五”规划》。该规划提出,要加强“元宇宙”底层核心技术基础能力的前瞻研发,推进深化感知交互的新型终端研制和系统化的虚拟内容建设,探索行业应用.

1900/1/1 0:00:00
虚拟资产:虚拟货币交易的合同效力及风险防范

2021年9月3日施行的《国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知》对国内虚拟货币挖矿打击较大,不仅意味着继续在国内挖矿将会受到行政处罚,同时还会面临相应的民事刑事风险.

1900/1/1 0:00:00
元宇宙:元宇宙的首块合规拼图:《互联网信息服务深度合成管理规定(征求意见稿)》发布

从基于深度合成(deep sythesis)技术的Deepfake出现开始,深度合成技术一直就饱受争议.

1900/1/1 0:00:00
元宇宙:朱嘉明:元宇宙的商业前景、技术路径和治理规则

2022年1月19日,横琴数链数字金融研究院学术与技术委员会主席朱嘉明教授接受《中国经营报》记者屈丽丽专访,回答了关于元宇宙的商业前景、技术路径和治理规则等方面的若干问题.

1900/1/1 0:00:00
ASH:隐私币:一场注定要失败的战争

遇到熊时,想要幸存下来,你不需要跑过熊,你只需要跑过你身后的人,隐私币或许正在称为那个“跑在最后的人”。隐私币是一类独特的加密货币,允许用户在进行区块链交易时完全匿名,即无法溯源.

1900/1/1 0:00:00