[安全团队:BSC Token Hub跨链交易验证方式存在漏洞]10月7日消息,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
6)最终构造出该特定区块(110217401)的提款证明
Beosin Trace正在对被盗资金进行实时追踪。
其它快讯:
安全团队:Wintermute 1.6亿美元资产被盗的可能原因:金色财经报道,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元的各种资产,慢雾安全团队分析后发现如下信息:
Wintermute被盗智能合约:0x00000000ae347930bd1e7b0f35588b92280f9e75, Wintermute被盗EOA钱包:0x0000000fe6a514a32abdcdfcc076c85243de899b,攻击者地址:0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705,攻击者智能合约:0x0248f752802b2cfb4373cc0c3bc3964429385c26。
被盗原因可能是Wintermute被盗EOA钱包是使用Profanity来创建的靓号钱包(开头0x0000000),此前去中心化交易所聚合器 1inch 发布了一份安全披露报告,声称通过名为 Profanity 的工具创建的某些以太坊地址存在严重漏洞。[2022/9/20 7:08:49]
安全团队:Grim Finance攻击者中间地址向Tornado Cash转入1800枚ETH:金色财经报道,据派盾(PeckShield)监测,Grim Finance攻击者的中间地址(0x9882238)向Tornado Cash转入1800枚ETH(约330万美元)。2021年12月,Grim Finance遭到重入攻击,该攻击窃取了价值约3000万美元的加密资产。[2022/8/19 12:36:08]
安全团队:thesaudinft[.]io是钓鱼网站,请勿与之交互:金色财经消息,据慢雾监测,thesaudinft[.]io是钓鱼网站,请勿与之交互,一旦点击认领,用户的资金和NFT将会被盗。[2022/8/7 12:08:00]
郑重声明: 安全团队:BSC Token Hub跨链交易验证方式存在漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。