链闻消息,针对Filecoin出现「双花交易」和多家交易所关闭FIL充值通道一事,慢雾安全团队对相关信息分析发现,这是一起Filecoin的RBF假充值攻击事件而非「双花交易」。攻击者预先发送一笔低gas-feecap的交易,然后通过提高gas-premium和gas-feecap替换原交易,此时RBF交易优先被打包上链,旧交易被丢弃,但是由于FilecoinlotusRPC有一个特性,在查询旧交易的执行状态时返回的是RBF交易的执行状态,导致交易所对两笔交易重复入账。慢雾安全团队提醒交易所及相关钱包方,在充值入账时,需要对比查询返回结果中的cid与查询的cid是否一致,并配合ChainGetParentMessages和ChainGetParentReceipts等接口进行查询对比,避免重复入账。与此前慢雾区发现的假充值攻击不同的是,此次攻击方法更加隐蔽,是由于Filecoin节点特性所引起,交易所及相关钱包方应再次检查充值入账程序,除了RBF外,还有常规的To、Value、转账类型Method,以及执行结果ExitCode等字段的校验,必要时可请安全审计公司协助检测。
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
声音 | 慢雾科技余弦:数字货币行业缺乏国家相关的监管背书,有很多的乱象:据《每日经济新闻》消息,区块链生态安全公司慢雾科技创始人余弦在接受采访时分析,简单来说,币圈的风险主要有两个。第一个风险是地下黑客,当前的币圈,无论是基础设施还是上层建筑都比较脆弱,相对互联网来说,攻击者的攻击成本很低。通过这些攻击手法,地下黑客能够盗取很多数字货币。第二个风险是这个行业缺乏监管,缺乏国家相关的监管背书,有很多的乱象,比如说各种资金盘、等,这些行为其实都是打着区块链噱头的非法集资。而针对如何保护数字货币的安全,余弦表示,这是一个新的行业,小白投资者应该多学习这个行业的知识,不要只看表面。随着知识的加深,对很多表面上的包装、噱头,自己就会有一些判断。另外,存储数字货币的手机、电脑,要安装杀软件。不使用通过不明渠道下载的软件来存储数字货币,这是最基本的安全防范。[2019/8/30]
声音 | 慢雾安全团队针对USDT充值漏洞做出回应:据火讯财经报道,慢雾安全团队针对USDT充值漏洞做出了回应,他们表示:“关于 USDT ‘虚假充值’的事件,目前许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题了。我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。”[2018/7/3]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。