TOK:安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞

10月7日消息，據BeosinEagleEye平臺監測顯示，BSCTokenHub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。1）攻擊者先選取一個提交成功的區塊的哈希值2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點3）在IAVL樹上添加一個任意的新葉子節點4）同時，添加一個空白內部節點以滿足實現證明5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希6）最終構造出該特定區塊的提款證明BeosinTrace正在對被盜資金進行實時追蹤。

安全團隊：不法分子通過短信發送imToken虛假網址、釣魚鏈接進行非法操作:金色財經報道，Fairyproof監測發現，近期有不法分子通過短信發送imToken虛假網址、釣魚鏈接進行非法操作，盜取用戶資金。Fairyproof強烈建議用戶不要點擊未知鏈接，不要輸入地址的助記詞或私鑰，或其他隱私信息，必要時通過官方渠道進行咨詢或驗證，以免造成資金損失。[2023/1/13 11:10:25]

安全團隊：Inkwork Labs 項目Discord服務器遭到攻擊:金色財經消息，據CertiK監測，Inkwork Labs 項目Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接或聲明消息。[2023/1/5 10:23:18]

安全團隊：一筆價值約240萬美元的可疑資金被存入Tornadocash:金色財經消息，據CertiK監測，有一筆價值約240萬美元的可疑資金被存入Tornadocash。目前很可能與BXH（BXH_Blockchain）事件有關。截至發稿時，有1865枚ETH（約240萬美元）被盜走。

具體細節：EOA 0x158F5......執行了一個可從BSC和AVAX staking合約中提取資金的特權功能，然后將代幣轉移到了以太坊。

一個被該事件影響的人在創建的Telegram群中泄露了持有資產的staking合約以及相應的團隊地址。

BSC 0x158F5......使用InCaseTokensGetStuck()特權函數從staking合約中取出資金。

ERC-20代幣隨后被換成了ETH，所有資金即1865ETH（240萬美元）已經被存入Tornadocash。[2022/9/24 7:18:05]

Tags：TOKTOKETOKENKENTokenStand Networkimtoken怎么換成人民幣imtoken被更改賬戶權限walken幣怎么變現成人民幣

MATIC