[安全团队:谨防多重签名假充值]据慢雾区情报,近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。
慢雾安全团队分析发现,攻击者通常使用 2-of-3 多签地址,其中 1 个地址为攻击者在交易所的充值地址(假设为 A),2 个地址为攻击者控制私钥的地址(假设为 B、C),然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易,此时攻击者在交易所的充值地址 A 虽然收到资金,但是由于花费这笔资金至少需要 2 个地址的签名,攻击者可利用自己控制的 B、C 地址将充值资金转出。
慢雾安全团队建议交易所,及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。
其它快讯:
安全团队:MEV bot以太坊上地址遭到恶意利用,损失约1.6万美元:金色财经消息,据CertiK安全团队监测,北京时间2022年5月25日9:58:59,MEV bot以太坊上0x85e5c6cffd260a7f153b1f34b36f6dbeba3e279e地址遭到恶意利用,导致了价值约1.6万美元的资产损失。[2022/5/25 3:40:35]
Illuvium组建安全团队并聘请Quantstamp、PeckShield和白帽Samczun完成额外审计:3月24日消息,RPG链游Illuvium表示正在组建安全团队、突发事件响应团队以及建立相关安全流程,其中安全团队负责人为核心贡献者Cag,Cag此前任职于Mozilla和Atlassian。另外,Illuvium还与外部网络安全平台Zerofox建立了合作关系,以避免网络钓鱼攻击、假冒域名和数据泄露等恶意行动,打击伪装成Illuvium或Illuvium相关的网络钓鱼网站和社交账户。Illuvium还为其智能合约进行了额外审计,包括Quantstamp、PeckShield和白帽Samczun,还将通过Immunefi启动漏洞赏金计划。去年12月底,Illuvium的Discord遭到入侵,大约41个钱包的15万美元资产被盗,今年1月份,Illuvium在其质押合约发现漏洞,导致攻击者铸造了无限量的sILV,之后该漏洞在StakingV2合约中得以修复。[2022/3/24 14:15:55]
动态 | 加密安全团队Trail of Bits设立1万美元研究奖项:加密安全团队Trail of Bits官方宣布设立1万美元的Crytic研究奖,以奖励基于区块链工具发表的学术论文。[2019/11/13]
郑重声明: 安全团队:谨防多重签名假充值版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。