巴比特讯,8月10日晚间,跨链互操作协议PolyNetwork遭到黑客攻击,共计超6.1亿美元转出至3个地址,受此影响导致O3Swap跨链池大额资产被转出。对此,慢雾安全团队发布分析报告表示,这种攻击主要是因为EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改,EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。因此,攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper,并非由于keeper的私钥泄露而发生此事件。
慢雾:Apple Store恶意钓鱼程序可模仿正常应用程序,盗取账号密码以绕过2FA:7月25日消息,慢雾首席信息安全官23pds发推提醒用户注意Apple ID出现的最新攻击案例,其中Apple Store出现恶意钓鱼程序,通过模仿正常应用程序盗取用户账号和密码,然后攻击者把自己的号码加入双重认证的信任号码,控制账号权限,用来绕过苹果的2FA。“加密货币用户务必注意,因为目前有不少用户、钱包的备份方案是iCloud备份,一旦被攻击,可能造成资产损失”。[2023/7/25 15:56:56]
动态 | 慢雾预警:交易所需注意识别网络上的安全漏洞欺诈行为:据IMEOS 6月17日消息,近期多位客户均反馈收到匿名的漏洞提醒邮件或Telegram消息,消息中会说你的交易平台存在一些漏洞(比如 Web 服务整型溢出/Integer-overflow),将导致平台无法打开。然后“匿名黑客”会教唆你支付 BTC 来获得具体漏洞详情,但其在收到 BTC 后会提供很初级的漏洞报告或直接消失。慢雾安全团队提醒交易所注意识别,避免上当受,支付费用,只会助涨气焰。不完全统计“匿名黑客”截止当前至少已经入账 43 枚 BTC。[2019/6/17]
动态 | 慢雾预警:警惕新型“交易排挤攻击”:根据慢雾威胁情报分析系统分析,今日凌晨,EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。攻击者首先是使用 loveforlover 发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的 defer 交易,将项目方的开奖交易“挤”到下一个区块中,此次攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。截止发文前,EOS.WIN 项目方仍未进行合约升级。慢雾安全团队在此建议所有的项目方和开发者不要在随机数算法内加入时间种子,防止被恶意攻击。[2019/1/11]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。