[安全团队:谨防多重签名假充值]据慢雾区情报,近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。
慢雾安全团队分析发现,攻击者通常使用 2-of-3 多签地址,其中 1 个地址为攻击者在交易所的充值地址(假设为 A),2 个地址为攻击者控制私钥的地址(假设为 B、C),然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易,此时攻击者在交易所的充值地址 A 虽然收到资金,但是由于花费这笔资金至少需要 2 个地址的签名,攻击者可利用自己控制的 B、C 地址将充值资金转出。
慢雾安全团队建议交易所,及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。
其它快讯:
安全团队:paraswap部署者私钥疑似泄露,资金在多个链上被盗:10月11日消息,据Supremacy安全团队监测,2022年10月11日,paraswap部署者地址在多个链(ETH、BSC、FTM)上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。经过分析,该地址为Profanity漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有paraswap部署者地址自身资产遭到窃取,暂不影响paraswap多签金库(签名阈值为2),但不排除其他多签地址也由Profanity生成,所以多签金库也可能存在风险。目前Supremacy团队已联系paraswap官方传达信息,在此再次呼吁大家即时将及时更换由Profanity生成的地址,针对Profanity地址的攻击仍在持续进行。[2022/10/11 10:30:53]
安全团队:Reaper Farm项目遭到攻击事件解析,项目方损失约170万美元:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Reaper Farm项目遭到黑客攻击,成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制,导致调用withdraw或redeem函数可提取任意用户资产。攻击者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻击合约(0x8162a5e187128565ace634e76fdd083cb04d0145)通过漏洞合约(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用户资金,累计获利62ETH,160万 DAI,约价值170万美元,目前攻击者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通过跨链将所有获利资金转入Tornado.Cash,成都链安链必追平台将对被盗资金进行实时监控和追踪。[2022/8/2 2:54:19]
现场 | 慢雾海贼王:保障安全需找专业安全团队做专业审计:金色财经现场报道,在今日万向区块链实验室举办的2018区块链·新经济第四届区块链全球峰会上,慢雾安全负责人海贼王称,一笔合法交易的USDT,至少需要满足以下两个条件:(1)要通过比特币的交易来构造,要符合比特币的余额验证及交易规则验证;(2)要通过USDT自己的余额验证。他总结说,要保障安全,需找专业的安全团队做专业的审计。[2018/9/10]
郑重声明: 安全团队:谨防多重签名假充值版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。