MIN:安全公司：上周pNetwork增发GALA事件根本原因系私钥明文在GitHub泄露

11月7日消息，据慢雾区情报，上周pNetwork增发GALA事件的根本原因系私钥明文在GitHub泄露。在pGALA合约使用了透明代理模型，其存在三个特权角色，分别是Admin、DEFAULT_ADMIN_ROLE与MINTER_ROLE。Admin角色用于管理代理合约的升级以及更改代理合约Admin地址，DEFAULT_ADMIN_ROLE角色用于管理逻辑中各特权角色，MINTER_ROLE角色管理pGALA代币铸造权限。在此事件中，pGALA代理合约的Admin角色在合约部署时被指定为透明代理的proxyAdmin合约地址，DEFAULT_ADMIN_ROLE与MINTER_ROLE角色在初始化时指定由pNetwork控制。proxyAdmin合约还存在owner角色，owner角色为EOA地址，且owner可以通过proxyAdmin升级pGALA合约。但慢雾安全团队发现proxyAdmin合约的owner地址的私钥明文在Github泄漏了，因此任何获得此私钥的用户都可以控制proxyAdmin合约随时升级pGALA合约。不幸的是，proxyAdmin合约的owner地址已经在70天前被替换了，且由其管理的另一个项目pLOTTO疑似已被攻击。由于透明代理的架构设计，pGALA代理合约的Admin角色更换也只能由proxyAdmin合约发起。因此在proxyAdmin合约的owner权限丢失后pGALA合约已处于随时可被攻击的风险中。

安全公司Unit 42发现新恶意软件Lucifer 可用于恶意挖矿和DDoS攻击:安全公司Unit 42的研究人员发现一种新的恶意软件“Lucifer”正在传播，该软件是某种旧的加密货币勒索软件的变种。新的变体可用于恶意加密货币挖矿，但也可以用来进行DDoS攻击。（Guru 3d）[2020/6/27]

加密安全公司CipherTrace计划与各地央行展开合作:金色财经报道，美国加密安全分析公司CipherTrace希望将其业务扩展到世界各地的中央银行。目前，CipherTrace正在启动一项新计划，旨在帮助中央银行以安全、隐私和合规的方式发行自己的数字货币。据悉，CipherTrace获得了美国国防高级研究计划局（DARPA）的资助，已与世界各地的银行和政府进行合作。[2020/5/13]

安全公司：警惕EOS账号买卖中通过多签提案回收EOS账号风险:在EOS账号买卖市场中，已知的回收账号的方式是通过在账号卖出前使用该账号发起一笔修改账号权限延时交易，待账号成交后延时交易触发，账号权限被改，达到回收账号的目的。

据慢雾区伙伴“红石”的情报，目前存在一种新型的回收账号攻击。攻击者可事先利用卖出账号发起一笔更改权限的多签提案，并使用卖出账号和攻击者控制的另一个账号同意此提案，由于通过提案与执行提案两个动作可分开执行，此时先不执行提案，等账号卖出后，使用任意账号执行此提案，更改卖出账号权限，即可达到回收账号的目的。[2020/4/9]

标签：MINADMGALROX郭家毅gemini女友染染姓什么ADMONKEYGalaxy VillansProximaX

火币下载热门资讯