[安全团队:BSC Token Hub跨链交易验证方式存在漏洞]10月7日消息,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
6)最终构造出该特定区块(110217401)的提款证明
Beosin Trace正在对被盗资金进行实时追踪。
其它快讯:
安全团队:Bill Murray 被盗资金部分流向币安:金色财经消息,区块链安全机构 CertiK 在 Twitter 上表示,喜剧演员 Bill Murray 被盗资金中价值 11 万美元的资产被分别发往四个地址后转至币安,剩余一部分被转入一个新地址后暂时没有其他动作。攻击者发起攻击所使用的资金来自于从 Coinbase 提取资产的地址。[2022/9/3 13:06:52]
安全团队:PREMINT攻击者目前已将被盗资金转移到Tornado Cash:7月18日消息,据成都链安技术团队分析,目前PREMINT攻击者6个黑地址中,仅0x99AeB028E43F102C5776F6B652952BE540826bf4地址剩余84.5ETH,成都链安链必追平台监测到攻击者目前已将被盗资金陆续转移到Tornado Cash。此前消息,黑客在PREMINT网站中通过植入恶意的JS文件实施钓鱼攻击,PREMINT官方提醒用户不要签署任何设置批准所有的交易。[2022/7/18 2:20:33]
安全团队:BlockSec成功拦截针对FSWAP 的黑客攻击:6月15日消息,BlockSec攻击检测系统在6月14日检测到针对FSWAP的攻击行为,并且成功阻断2笔攻击交易,拦截了3500 WBNB进入黑客地址。BlockSec正在同项目方联系归还被攻击资金。
BlockSec已经成功阻断了多起针对区块链项目方的黑客攻击行为,包括针对Saddle Finance、Equalizer Finance、HomeDao等项目的攻击,拦截了超过500万美金的数字资产进入黑客控制账户。[2022/6/15 4:29:33]
郑重声明: 安全团队:BSC Token Hub跨链交易验证方式存在漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。