6月29日,SolusExplorer开发团队CryptoScope的一个程序员在回归测试时,发现浏览器统计的RVN余额出了问题,在深入排查问题后,他确认主网出现了很多异常的RVN增发操作,随后快速联系Ravencoin官方团队成员反馈了这个bug。
在与RVN开发团队沟通后,CryptoScope决定暂时关闭SolusExplorer的部分入口,以降低其他攻击者利用漏洞的可能性,为官方团队解决问题赢得了一定时间。
7月3日,RVN团队向社区发布了紧急更新,并最终于7月4日在1,304,352区块上对Ravencoin网络进行了程序修复。
7月8日,RVN官方解释称,本次漏洞是由于黑客提交的恶意PR引入的bug导致。
Wintermute:将在黑客出售 OP 时买回并100%归还资金:6月9日消息,针对因做市商 Wintermute 技术失误导致 2000 万枚 OP 代币被盗,Wintermute发布声明表示,这完全是 Wintermute 的过错,因此我们将在每次攻击者出售 OP 时购买(昨天开始购买第一百万枚OP 代币),我们知道它可能会在代币中造成价格波动,并将尽最大努力使影响平滑。[2022/6/9 4:12:25]
此次漏洞共导致RVN增发3.01亿枚,相当于原有210亿总供应量的1.44%,已有供应量的4.6%。
根据追踪,大量增发的RVN被拆开发往不同的地址,并最终转到了交易所,官方定位到了以下3个地址:
RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK
东芝遭遇网络入侵,与美国输油管道商网络攻击相关的黑客组织宣称对此负责:据日本放送协会NHK报道,一个黑客组织宣称侵入了东芝的法语网站并窃取了机密信息,东芝正在对此事进行调查。NHK援引Mitsui Bussan Secure Directions的消息报道称,被美国联邦调查局确定与Colonial Pipeline网络入侵事件有关的黑客组织DarkSide宣称其窃取了有关东芝管理层和新业务的资料以及个人信息
此前消息,美国最大汽油管道运营商Colonial遭攻击,黑客索要价值数百万美元虚拟货币赎金。[2021/5/14 22:01:57]
RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8
RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs
LMEX联交所声明:平台遭黑客入侵被盗15万USDT,平台目前资不低债:5月27日,LMEX联交所在社群发布关于交易所运营调整通知:
社群的伙伴们,首先感谢社区用户的一直陪伴与支持,平台的快速发展,远远超出了平台计划。超出平台系统的负荷,昨天上线交易对,本该是平台与大家最期待的一天,但计划赶不上变化,针对昨天与现在进行公开以下说明:
1.昨天开通交易对,大量会员涌进登陆,导致APP卡顿严重,同时黑客还系统进行了入侵与攻击。
2.由于充值与提现过于庞大,平台区块掉线,形成充值与提现未能及时到账。
3.目前平台数据库产生很大的LB空洞,目前在核查数据的情况与修复。
4.昨天平台黑客入侵被盗USDT,核实大概是15万USDT,单币最大52000USDT。
5.目前平台市场恐慌严重,平台目前资不低债。
6.平台需要5天左右时间修复与核实数据,待平台核实结束,公开发布处理结果与下一步计划。
7.目前期间,平台关闭充提。[2020/5/27]
RVN团队表示已经追踪到其中一个黑客团队的线索,并已经掌握攻击者的信息,希望其将增发的RVN转至特定的地址进行销毁。RVN团队称已有总计约390万枚增发的RVN被销毁。
动态 | Bitcoin Association举办首届BSV开发者黑客马拉松:据美通社消息,在上周于多伦多举行的CoinGeek大会上,评委们就Bitcoin Association(实际由澳本聪阵营的“bComm协会”更名而来)的首届BSV黑客马拉松的获奖情况进行了投票,获奖名单分别为UptimeSV、TonicPow、PolyGlot。[2019/6/10]
此外,官方团队没有通过类似ETH硬分叉的形式来解决攻击,而是间接承认了这些增发币的有效性。为了保证总供应量不变,官方给出的建议方案是降低未来挖矿总收益,不过这个方案还需要得到社区的认可,并最终通过链上BIP9升级后才能生效。
此次漏洞除了增加RVN的通胀率之外,不会影响用户已有的RVN资产和转账。
RVN原有发行总量为210亿,出块时间为1分钟,目前的区块奖励为5,000个RVN,每210万个区块后奖励会减半,也就是约4年减半一次。根据官方目前给出的方案,每次减半将比之前提前59,580个区块。
攻击者行为复盘
1月16日,名为WindowsCryptoDev的开发人员在RavencoinGithub提交了一个PR,表面看起来是在完善节点返回的报错信息,该PR很快就得到了Ravencoin官方人员的反馈,并合并进主分支。
PR详情
原先的代码,对于asset相关的交易,只要交易的RVNoutputvalue不是0,都会返回“bad-txns-asset-tx-amount-isn't-zero”报错信息。
该PR针对不同的asset交易类型进行了报错信息优化,表面看起来是为了方便开发者区分具体的报错原因,但是黑客留了一个后门,即没有针对TX_REISSUE_ASSET进行报错信息优化。注意,这样带来的后果不仅仅是报错信息不可分辨,而是将原本不合法的交易判断为合法的交易,最终导致了RVN的增发。
1月17日,黑客在Ravencoin主网持续发布TX_ISSUE_ASSET交易,为后续的TX_REISSUE_ASSET攻击提供基础。
5月9日,黑客开始每隔2小时在Ravencoin主网发起一个TX_REISSUE_ASSET交易,增发500,000RVN到自己的地址,该行为一直持续到?7月3日,此时黑客察觉到官方已经准备对bug进行修复。
7月4日,主网上还出现了3笔新的攻击交易,增发了两笔1,000,000RVN和一笔2,804,398RVN,不过这3笔攻击交易应该都不是之前的黑客所为。
从SolusExplorer统计来看,最终总增发量为301,804,400RVN,也就是超过3.01亿RVN。
安全提示
虽然此次漏洞只影响了Ravencoin网络,但是还有很多其它区块链系统也遇到过类似的安全问题。例如Bitcoin曾经在2018年被爆出过类似严重的安全漏洞,攻击窗口从2017年10月持续到2018年8月,同时影响了所有2017年10月之后基于Bitcoin代码开发的新币种。不过当时的bug并不是黑客恶意引入,而是开发人员的错误导致,值得庆幸的是,该bug在被开发人员修复之前没有被任何黑客利用。
对于区块链开源项目来说,代码贡献者的技术能力、贡献动机等因素都存在诸多不确定性,因此在代码review上需要核心开发团队把好关。
比原链基金会牵头成立的IEEE区块链身份密钥管理规范工作组,正在火热招募工作组成员,感兴趣的组织机构请立即点击表单登记.
1900/1/1 0:00:00区块链行业生态初步凸显,产业区块链成为新基建政策红利下的重要趋势,如何在风口中顺势而为,带领团队企业实现业务增长?为解答上述问题,7月14日,由巴比特主办的首届产业区块链创新年中论坛在线上召开.
1900/1/1 0:00:00近期,中国证监会同意北京、上海等5家区域性股权市场参与区块链建设试点工作。据悉,北京股权交易中心曾联合其他单位共同推出区域性股权市场中介机构征信链,着力建设标准统一、无法篡改的中介机构执业信息共.
1900/1/1 0:00:00本文来源:点滴科技资讯翻译:刘斌中国自贸区研究院金融研究室主任上个月,纳斯达克宣布发布其市场服务平台,这是一种基于多云平台的面向市场平台机构的SaaS服务.
1900/1/1 0:00:00《数据安全法》正在中国人大网公开征求意见。根据该《数据安全法》,数据是指任何以电子或者非电子形式对信息的记录。数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为.
1900/1/1 0:00:00一、BSN与公链强强联合中国区块链服务网络BSN?将于8月10日向全球的dApp开发者开放其服务。此举是中国成为目前唯一全球区块链企业基础设施提供商计划的一部分.
1900/1/1 0:00:00