比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > KuCoin > Info

BTC:成都鏈安:7000比特幣的損失,幣安熱錢包被盜事件細節分析

Author:

Time:1900/1/1 0:00:00

編者按:今天凌晨1點,交易所幣安遭到黑客攻擊,損失7000個比特幣,詳情請點擊《幣安被盜7000個比特幣》。本文來自成都鏈安科技安全團隊,Odaily星球日報經授權轉載。知名加密貨幣交易所幣安受到黑客攻擊,目前已經有7074.18個比特幣被竊。根據幣安首席執行官趙長鵬對外披露的信息,該交易所在5月7日發現了“大規模的安全漏洞”,該漏洞導致黑客能夠訪問用戶應用程序接口密鑰、雙因素身份驗證碼、以及其他信息。按照安全通知中公布的一筆交易,黑客從幣安交易所中取走了價值大約4100萬美元的比特幣。對此次攻擊,Beosin成都鏈安科技安全團隊進行了深度分析:交易詳情如下,發生在575013塊,總損失最高可達7074個BTC詳細提幣地址截至目前,幣安熱錢包被盜約7000枚BTC.現在幣安的熱錢包余額3,612.69114593個BTC,說明幣安熱錢包的私鑰安全,經過團隊分析,在05月08日01:17:18,通過API接口在同一時間發起提幣操作。幣安交易所的API申請后會生成APIkey和Secretkey,如下圖:API接口有限定用戶開放IP限制和開放提現功能。開放提現就是直接利用APIkey和Secretkey直接提現,不需要收集驗證碼、短信、谷歌驗證碼。如下圖:API部分官方調用代碼demo如下:我們初步分析認為是用戶的APIkey和Secretkey信息泄露導致的此次攻擊。如果用戶沒有限制ip并配置了開放提現功能,任意攻擊者在獲取了APIkey和Secretkey信息后便可以實現攻擊。用戶的信息泄露途徑可能有:普通用戶一般不會使用apikey,一般是高級用戶用于代碼中實現自動化交易,可能是用戶源碼泄露導致apiSecretkey泄露用戶被釣魚攻擊,輸入了APIkey和Secretkey被黑客截取。用戶的APIkey和Secretkey保存的電腦被攻擊竊取。幣安交易所系統原因導致用戶APIkey和Secretkey泄露,其中只有71個用戶開放了提現功能,被盜幣。被黑客盜取的7074枚BTC的主要20個地址如下:bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp555.997BTCbc1qqp8pwq277d30cy7fjpvhcvhgztvs7v0nudgul5463.9975BTCbc1qld27dqu6wrl4tmjdr8tl55qavmghwrr4ldh7qn473.9975BTCbc1q8m9h3atn4cqeqhu3ekswdqxchp3g7d4v3qv3wm567.997BTCbc1q7p6edvd4zvtya8uj366c23dan8pvlp503spucu468.9975BTCbc1ql0wlnu80l8kctjzkzlzd72sdjqwuvruvgepceq383.998BTCbc1q3ldtrr6xtpx8jam5gw68aaexz2wtluj0qullvr189.999BTCbc1qyv4zv0wjn299kx4yz6g7v6g6400wqgzcqgw9vx383.998BTCbc1q6fejm4r866tmt8ptf42juedv5gevlv2qt72agq371.998BTCbc1qvstwzsrfml43jrclsp68220l4lx5lw3kwf7dp0193.999BTCbc1qecs672j9dpvwr56zeldgf3swtlv3dad52wzuta463.9975BTCbc1qshkncv7tkpye7z0z4a3k9yw2e73whha9gjs88z97.9995BTCbc1qhlhx6lrnr0jf4zpvm788j7yeezau6s8q557p2z279.9985BTCbc1qesy52g7ndy652qudr2awuk57mcaxgmn9qsmpzk469.9975BTCbc1q9svj9wp68zftgejjgk6f96ukuyx8c5urkqsv69193.999BTCbc1qanrl8n3flz4jftkscljx2hwuc3h50f9ynp2nyn89.9995BTCbc1qtpdptcf4ngfkwq6dr36kqaeh2n5h00rx5unkgc670.9965BTCbc1qvr2jxlmvckap7cg2l6mdgh5fa8glkhe4s88sax377.998BTCbc1qhqap39mpkldjzvqdf3204p732krtnf56mm9aj3370.998BTC3KBsR6Ld255Tw5hNR4S6KaX5SXxvRF6jv31.29968018BTC

成都鏈安:fomo-dao項目遭受攻擊,攻擊者獲利11萬美元,目前已轉至Tornado.cash:金色財經消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,fomo-dao項目遭受攻擊。攻擊者地址:

0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a

攻擊交易bsc:0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5

攻擊合約:0xe62b2dfc54972354fac2511d8103c23883c746c4

目前攻擊者獲利11萬美元,已經轉至Tornado.cash[2022/6/4 4:01:44]

成都鏈安:Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示,Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:

1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<- 主要漏洞,造成本次攻擊的根本原因。2.函數未做防重入攻擊;<- 次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。針對這兩個問題,成都鏈安在此建議項目方應做好下面兩方面:1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]

LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。

獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。

創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。

合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;

審計報告編號:202009222010。[2020/9/24]

動態 | 成都鏈安面向聯盟鏈推出“一站式”安全平臺:據官方消息,成都鏈安面向聯盟鏈安全需求推出“一站式”安全解決方案,為聯盟鏈生態提供從安全設計、開發、安全檢測到運行時安全監控和管理等全方位的安全服務與支持。

?

“一站式”安全平臺主要包括:支持FISCO-BCOS、Fabric、以太坊、EOS等多個平臺的“一鍵式”智能合約自動形式化驗證工具Beosin-VaaS;Beosin-IDE智能合約開發工具;Beosin-Eagle Eye安全態勢感知系統;Beosin-Firewall防火墻;Beosin-OSINT 威脅情報系統;安全審計與檢測;安全顧問等服務。

?

成都鏈安作為最早專門從事區塊鏈安全的公司之一,核心團隊在安全領域深耕18年,申請區塊鏈安全相關軟件發明專利和著作權15項。平臺推出以來,已為微眾銀行區塊鏈、布比、云象、益鏈等多個聯盟鏈平臺提供了全套的“一站式”安全解決方案和安全防護。[2019/11/28]

Tags:BTCBTCBCBCKEYbtcst幣最新消息BTCB幣BCBConekeytools插件下載

KuCoin
區塊鏈:萬向區塊鏈肖風:區塊鏈需要技術+制度的PoS解決方案,不排除應用層出現巨頭

5月17日,在巴比特主辦的2019全球區塊鏈高峰論壇上,萬向區塊鏈董事長兼CEO肖風發表了《鏈內、鏈上與鏈外:技術、激勵和治理》的演講,他回顧了百年全球經濟的發展,認為區塊鏈想要適配大規模應用.

1900/1/1 0:00:00
BOO:Facebook區塊鏈小組成員揭秘,約10人來自PayPal黑幫

編者按:本文來自bloomberg,作者:JulieVerhage,編譯:星球日報茶涼編輯|盧曉明Odaily星球日報出品據彭博社報道,知情人士透露.

1900/1/1 0:00:00
ETH:報告:全球1/3的ETH被376個人持有,但只占ETH交易流動性7%

Odaily星球日報出品譯者|王也編輯|盧曉明區塊鏈和加密貨幣的本質就是去中心化,但是,在加密貨幣世界中存在一個非常中心化的現象,超過30%的ETH和20%的BTC卻掌握在極小一部分大戶手中.

1900/1/1 0:00:00
區塊鏈:大話Bibox恒星計劃首期 | Bibox首期IEO項目X-Block :基于霧計算框架構建的公鏈

“我們之所以選擇四個項目一起上,是因為這樣就可以給用戶提供更加多元和豐富的選擇,用戶可選擇的范圍更廣,選擇機會更多,中簽的概率也更大.

1900/1/1 0:00:00
AND:視頻游戲開發商Pixowl獲得250萬美元投資,推動區塊鏈游戲上線

視頻游戲開發商Pixowl宣布,為即將上線的基于區塊鏈的游戲「Sandbox」完成一輪250萬美元的投資,此輪融資預計將帶來更多的用戶.

1900/1/1 0:00:00
PRI:大話火幣韓國Prime | 首期項目PCI三輪中簽率1.19%

在國內順利完成兩期Prime后,火幣韓國開啟獨立上線Prime,4月22日12:30,火幣韓國商務部與用戶增長部高級總監于曉濛做客Odaily星球日報超話社區為用戶拆解火幣韓國Prime首期項目.

1900/1/1 0:00:00
ads