据北京链安消息,此前披露的第三方ERC20合约发布平台暗留增发后门的案例再次出现。此类平台根据项目方的代币供应量等设置自动化生成合约代码的同时,增加了一段代码私自多发了供应量总额一定比例的Token并将其转移至指定地址。北京链安安全专家Zer0Man表示,从最新的这起事件来看,相关地址至少已经收到五款Token被暗中增发的代币。Zer0Man进一步指出,由于近期火爆的Uniswap大大降低此前的Token在交易所上币成本,使得更多Token基于Uniswap机制进行交易。但是这个过程中,大量Token发布合约缺少安全审计过程,甚至包括YAM这样的热门项目都出现安全问题。与此同时,一些项目方更通过开发过程完全黑盒的一键发币平台发行Token,进一步加剧了相关安全隐患。在这里,我们再次提醒项目方和投资者,请关注相关代币合约的安全性,正式交易前请交由专业安全机构进行安全审计。
Cobo安全团队详解Stargate漏洞:可能导致伪造的交易receipt通过MPT验证:3月29日消息,Cobo安全团队撰文对Stargate跨链桥底层协议LayerZero的安全漏洞进行分析,称原始漏洞代码在进行MPT 验证时,没有限制pointer 在proofBytes 长度内,这个漏洞有可能让攻击者伪造hashRoot,导致伪造的交易receipt 可以通过MPT 验证。最终可造成的后果是,在预言机完全可信的前提下,Relayer 仍可以单方面通过伪造receipt 数据的方式来实现对跨链协议的攻击。
值得注意的是,此次爆出漏洞的代码是LayerZero协议中最核心的MPT交易验证部分的代码,是整个LayerZero及上层协议(例如Stargate)正常运作的基石。Cobo安全团队还表示,LayerZero项目的关键合约目前大都还被EOA控制,没有采用多签机制或者时间锁机制。如果这些特权EOA的私钥一旦泄漏,也可能会导致所有上层协议的资产受到影响。[2022/3/29 14:24:49]
声音 | 360安全战略合作部总监廖勇:区块链占主导地位的实体业务还不成熟:在8月17日区块链赋能实体经济推动计划“链锁反应IV”发布会圆桌论坛环节,360安全战略合作部总监廖勇认为,目前链币混战,占主导地位的实体业务还不成熟。他看好的区块链应用有:政府主导的金融和相关服务项目,游戏应用项目。[2018/8/17]
动态 | 区块链网络安全创业公司获得通用电气投资1200万美元:据cryptovest消息,近日,区块链网络安全创业公司Xage Security获得通用电气(GE)投资1200万美元,Xage Security是工业物联网(IIoT)安全解决方案提供商。GE在今年3月1日加入了运输联盟区块链(BiTA)。[2018/7/24]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。