安全团队:BSC Token Hub跨链交易验证方式存在漏洞_TOKE:TOK

10月7日消息,据BeosinEagleEye平台监测显示,BSCTokenHub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSCTokenHub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。1)攻击者先选取一个提交成功的区块的哈希值2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点3)在IAVL树上添加一个任意的新叶子节点4)同时,添加一个空白内部节点以满足实现证明5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希6)最终构造出该特定区块的提款证明BeosinTrace正在对被盗资金进行实时追踪。

安全团队:WSB Coin发生Rugpull,Token跌超86%:金色财经报道,据派盾(PeckShield)监测显示,MEME项目WSB Coin发生Rugpull,疑似团队以334ETH(约合63.5万美元)的价格抛售大量WSB Token,WSB价格跳水86%。[2023/5/4 14:42:00]

安全团队:UvToken矿池合约因未检查用户传参合法性导致被黑:金色财经报道,根据安全团队慢雾区情报,UvTokenWallet Eco Staking 矿池合约被黑,漏洞关键原因在于,矿池合约取款函数未严格判断用户输入,导致攻击者可以直接传入恶意合约地址并利用恶意合约掏空相关资金。慢雾 MistTrack 对资金进行了追踪溯源分析:截止目前黑客已将获利资金共计 5,011 BNB 转移到 Tornado Cash。此外,攻击的手续费来源同样为 Tornado Cash。

此前报道,多链钱包UvToken遭遇攻击。[2022/10/27 11:48:38]

安全团队:NFT项目Daisuki的Discord服务器遭到攻击:金色财经报道,据CertiK监测,NFT项目Daisuki的Discord服务器遭到攻击,聊天已被锁定,并且存在钓鱼链接,请社区用户不要点击、铸造或批准任何交易。[2022/8/13 12:23:34]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:46ms0-0:512ms