EOS:安全团队：BSC Token Hub跨链交易验证方式存在漏洞_KEN

10月7日消息，据BeosinEagleEye平台监测显示，BSCTokenHub10月7日遭遇黑客攻击，Beosin安全团队现将手法解析如下：币安跨链桥BSCTokenHub在进行跨链交易验证时，使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞，该漏洞可能允许攻击者伪造任意消息。1）攻击者先选取一个提交成功的区块的哈希值2）然后构造一个攻击载荷，作为验证IAVL树上的叶子节点3）在IAVL树上添加一个任意的新叶子节点4）同时，添加一个空白内部节点以满足实现证明5）调整第3步中添加的叶子节点，使得计算的根哈希等于第1步中选取的提交成功的正确根哈希6）最终构造出该特定区块的提款证明BeosinTrace正在对被盗资金进行实时追踪。

安全团队：约5750万美元USDC已从Mango开发者地址转移:10月12日消息，据派盾（PeckShield）检测，约5750万美元USDC已从Mango开发者地址转移到新地址41zCUJsKk...TwePu。

此前报道，Solana生态去中心化金融平台Mango因闪电贷攻击潜在损失达1亿美元，官方称正对此采取措施。[2022/10/12 10:32:23]

安全团队：@HameerHideout Discord服务器再次遭到黑客入侵:金色财经消息，据CertiK Alert数据监测，@HameerHideout官方Discord服务器再次遭到黑客入侵，警告用户不要点击任何链接，或批准任何交易。[2022/8/24 12:44:32]

安全团队：Curve Finance的DNS记录被入侵:金色财经消息，北京时间2022年8月10日凌晨4:20左右，Curve Finance(curve.fi)的DNS记录被入侵，并指向一个恶意网站。攻击者注入了恶意代码，要求用户对一个未经验证的合约给予代币交易批准。如果用户批准交易，那么该用户的代币就会被攻击者用恶意合约转走。

当用户与Curve(curve.fi)上的任意按钮互动时，网站会要求用户对一个未经验证的合约 \"0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881 \"给予代币交易批准。

截止发稿时，大约有77万美元因此方式而受到损失。攻击者将资金从他们的钱包转移到其他几个钱包，将其中一些换成代币，并发送了部分ETH到Tornado Cash。

CertiK安全团队在此提醒广大用户，不要确认该交易并且离开该网站。[2022/8/10 12:14:12]

标签：EOSSINAVLKENEOS CrashBusiness UniverseAVL币MX Token

AVAX热门资讯