ASH:安全机构:LianGoPay项目被盗损失160万美元,盗币者利用假的LP质押池获利

LianGoPay项目于2月7日宣称其在BNBChain上的LGTPool质押合约中的资产被盗,有6,148,859个LGT奖励币被盗,损失约160万美元。Fairyproof技术团队对此次事故的分析如下:被盗原因是LGTPool的owner管理员创建了一个伪造的LP代币质押池(3号池),然后盗币者将海量的LP代币放进该池进行质押,获取了614万枚LGT奖励代币。根据Fairyproof的链上监测工具显示,盗币者为此次盗窃事件准备了较长时间。在本次事件发生的58天前,盗币者地址就从TornadoCash获得了gas费,在事件发生的32天前就部署了伪造的LP合约。

zkSync在测试网中被意外触发安全开关Exodus Mode,可证明其安全机制有效:据官方消息,Matter Labs 表示昨日在以太坊测试网(Ropsten)上有用户触发了扩容方案 zkSync 1.0 的“Exodus Mode”(出埃及记模式),这并不是计划内的操作,但是也证明了 zkSync 1.0 的安全机制是有效的。该模式的触发是由于 Matter Labs 在测试一个新的系统,最终导致了系统认为 zkSync 的操作节点已下线了或者是恶意的,也就导致了该模式可以被触发。Matter Labs 表示,Exodus Mode 是 zkSync 可以与以太坊主链安全性一致的保证,在触发该模式后,用户可以重构状态数据并从 zkSync 网络中提现资产。[2021/4/24 20:53:50]

其具体流程如下:1.盗币者地址是事件发生的58天前从TornadoCash获取了gas费,首次出现在链上。2.事件发生的32天前,盗币者使用create2指令部署了一个假的LP代币合约。3.随后在同一天,LianGoPay项目方在Pancake上部署了LGT代币和WBNB的交易对合约。此合约地址与早前部署假的LP合约地址非常类似-----前后4位的字母是相同的,极易被混淆。4.2月7日,LGTPool合约的管理员连续发起了三笔创建质押池的交易,其中前两个在创建2个假的LP代币质押池时也创建了一个真的WBNB和LGT的LP代币池。因为真假LP代币合约地址的前后四位相同,导致用户不易察觉前两个创建的LP池是假的LP池。5.随后攻击者发起了攻击,首先部署了一个攻击合约。在合约初始化时为假的3号LP质押池质押了巨额的假LP代币----高达614885935211982505426257800000000。6.接着攻击者发起了赎回交易,并领取奖励的LGT代币。因为质押的本金金额巨大,所以产生了614万个LGT奖励。这些奖励代币被兑换为162万枚BSC-USD代币,并被转账到0xCb65开头的地址,目前被盗资金仍在0xCb65开头的地址。

精选 | 英国部长:对于区块链,监管机构已经纳入新的安全机制:据Ambcrypto报道,英国数字、文化、媒体和体育部(DCMS)部长玛戈特·詹姆斯(Margot James)在最近于伦敦举行的“Blockchain Live 2018”活动上担任主要发言人。在活动中,她讨论了政府对区块链技术的立场以及该技术的广泛使用案例。玛戈特·詹姆斯表示,英国政府完全致力于鼓励本国开发和采用新技术。此外,詹姆斯还引用了英国金融行为监管局(FCA)关注区块链技术的例子。她表示,监管机构已经纳入了一种安全机制,在这种机制中,他们着手在实际市场中测试产品和服务,并建立相应的“保障措施”。玛戈特·詹姆斯还强调要了解区块链技术的重要性,表示要将眼光放在金融部门之外的应用区块链技术。[2018/10/4]

Fairyproof安全提示:1.在安全事件中,作案者经常创建出与真地址前后四位相同的假地址以迷惑用户,导致用户损失资产。提醒用户在输入地址时要仔细核对,务必完整检查地址的全部字母。2.建议项目方应及时将合约的管理员权限转移到多签合约进行管理,以提高项目运作的安全性。

Kcash数字钱包:推出7大安全机制 正式上线韩语版本:据金色财经前方记者报道,Kcash创始人祝雪娇在Tokensky大会上宣布,Kcash目前推出了7大数字钱包安全机制保护投资资产安全,包括:三重加密、白盒加密、HMAC-SHA-256、40,000次散列、算法切割、分块存储、加壳保护。此外,Kcash钱包的韩文版也已正式上线,可为韩国地区的数字资产用户提供1000余种数字货币的储存、转账、红包服务。Kcash目前上线OKEx交易所,全球均价为0.62元,上涨2.23%。[2018/3/14]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:990ms