比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

MIN:慢霧:pGALA 事件根本原因系私鑰明文在 GitHub 泄露

Author:

Time:1900/1/1 0:00:00

ForesightNews消息,據慢霧區情報,11月4日,一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%。慢霧分析結果如下:1.在pGALA合約使用了透明代理模型,其存在三個特權角色,分別是Admin、DEFAULT_ADMIN_ROLE與MINTER_ROLE。2.Admin角色用于管理代理合約的升級以及更改代理合約Admin地址,DEFAULT_ADMIN_ROLE角色用于管理邏輯中各特權角色,MINTER_ROLE角色管理pGALA代幣鑄造權限。3.在此事件中,pGALA代理合約的Admin角色在合約部署時被指定為透明代理的proxyAdmin合約地址,DEFAULT_ADMIN_ROLE與MINTER_ROLE角色在初始化時指定由pNetwork控制。proxyAdmin合約還存在owner角色,owner角色為EOA地址,且owner可以通過proxyAdmin升級pGALA合約。4.但慢霧安全團隊發現proxyAdmin合約的owner地址的私鑰明文在Github泄漏了,因此任何獲得此私鑰的用戶都可以控制proxyAdmin合約隨時升級pGALA合約。5.proxyAdmin合約的owner地址已經在70天前被替換了,且由其管理的另一個項目pLOTTO疑似已被攻擊。6.由于透明代理的架構設計,pGALA代理合約的Admin角色更換也只能由proxyAdmin合約發起。因此在proxyAdmin合約的owner權限丟失后pGALA合約已處于隨時可被攻擊的風險中。綜上所述,pGALA事件的根本原因在于pGALA代理合約的Admin角色的owner私鑰在Github泄漏,且其owner地址已在70天前被惡意替換,導致pGALA合約處于隨時可被攻擊的風險中。

慢霧:Apple Store惡意釣魚程序可模仿正常應用程序,盜取賬號密碼以繞過2FA:7月25日消息,慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例,其中Apple Store出現惡意釣魚程序,通過模仿正常應用程序盜取用戶賬號和密碼,然后攻擊者把自己的號碼加入雙重認證的信任號碼,控制賬號權限,用來繞過蘋果的2FA。“加密貨幣用戶務必注意,因為目前有不少用戶、錢包的備份方案是iCloud備份,一旦被攻擊,可能造成資產損失”。[2023/7/25 15:56:56]

慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

Tags:MINADMGALAPROgemini郭家毅直播間adm幣是什么價格pgala幣會持續增發嗎SafeSpace Protocol

fil幣價格今日行情
FTX:FTX 和 Alameda 能否成為下一個大型加密貨幣破產?

?隨著FTT在過去24小時內暴跌超過10%,對FTX和Alameda潛在破產的擔憂增加。加密貨幣寒冬導致一些主要加密貨幣公司出現流動性危機。三箭資本、攝氏和航海者等公司在加密市場遭受了巨大打擊.

1900/1/1 0:00:00
IMX:昨日IMX解鎖逾2.5億枚,Immutable X的一地址轉移1.09億枚IMX至7個地址

金色財經報道,Lookonchain數據顯示,昨日ImmutableX代幣IMX解鎖2.37億枚,ImmutableX中的1個地址將1.09億枚IMX轉至7個地址,其中.

1900/1/1 0:00:00
LUN:LUNC 會很快達到 0.0006 美元嗎?

看漲的2022年LUNC價格預測為0.00033587美元至0.0006017美元。LUNC價格也將很快達到0.0006美元。2022年看跌的LUNC價格預測為0.00004135美元.

1900/1/1 0:00:00
NFT:Yuga Labs IP帝國雄起:三個月版圖擴張140%

原文作者:HarryLiu,ForjNetworkCEO原文編譯:WayneZhang,ForjNetwork中文社區成員該文中文版本為ForesightNews獲ForjNetwork授權獨家.

1900/1/1 0:00:00
BKS:ZT關於ETF產品進行份額合併的公告

親愛的ZT用戶: 由於以下槓桿ETF產品的精度過於冗長造成了用戶交易體驗差。我們將啟動份額合併機制,屆時將關閉以下交易對交易,用戶掛單將自動撤單,並對其份額進行合併操作后重啟交易.

1900/1/1 0:00:00
NOW:Nowarshiba (NSHIBA)

一、項目簡介? NoWarShiba是幣安智能鏈上運營的一個表情包加密貨幣代幣。Nowarshiba不同于其他典型的模因符號,因為該團隊是doxxed,總部位于韓國.

1900/1/1 0:00:00
ads