摘要:本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。北京时间8月12日,DAOMaker遭到黑客攻击,大量用户充值的USDC被转出并换成约2261个以太坊,损失超过700万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。一、事件分析通过查看攻击者交易情况发现攻击者共发动了18次攻击对5252名用户攻击。
微软发布漏洞修复补丁,部分漏洞可使得攻击者获取系统权限:5月10日消息,微软发布漏洞修复补丁以修复发现的38项安全漏洞,其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限;CVE-2023-29325是一个远程代码执行漏洞,允许攻击者通过发送特制电子邮件来入侵受害者的设备。[2023/5/10 14:54:53]
DAOMakerExploiter1:0xd8428836ed2a36bd67cd5b157b50813b30208f50DAOMakerExploiter2:0xef9427bf15783fb8e6885f9b5f5da1fba66ef931攻击合约XXX:0x1c93290202424902a5e708b95f4ba23a3f2f3ceeDAOMaker钱包地址:0x41B856701BB8c24CEcE2Af10651BfAfEbb57cf49DAOMaker部署者地址:0x054e71D5f096a0761dba7dBe5cEC5E2Bf898971cDAOMaker管理员地址:0x0eba461d9829c4e464a68d4857350476cfb6f559我们以其中的一次攻击进行分析,其他的都是一样的攻击方式。
Visor Finance攻击事件报告:黑客获取了管理帐户访问权限:基于Uniswap V3的DeFi流动性协议Visor Finance就此前发生的攻击事件发布报告称,攻击者获得了一个管理帐户的访问权限,能够从尚未存入流动性提供者头寸的存款中提取资金。报告称,被盗金额约占其300万美元TVL的16.7%(约合50万美元),并证实该黑客并非团队成员,因此对其紧急提款保障措施缺乏充分了解,被盗资金仅限于未配置的资产。(BeInCrypto)[2021/6/21 23:53:12]
通过交易记录发现,DAOMakerExploiter1使用攻击合约XXX的h()函数发起交易,将350名用户的USDC通过钱包地址转给攻击合约XXX后转给DAOMakerExploiter1,这350名受害者地址以数组的形式传入交易的inputdata。
声音 | 安全公司:钱包助记词遭破解 手机root权限成关键因素:针对近日有数字钱包被破解助记词一事,北京链安安全专家c00lman分析,视频中的攻击者采用了一台越狱手机,利用root权限,打开了存在该钱包私有目录下的配置文件preferences.xml,读取加密后的助记符字段seedPhraseEntropy。而后攻击者通过逆向手段,还原了加密算法,对加密后的助记符数据进行解密,还原了助记符。
但是这段攻击视频有个前提,攻击者需要获取root权限,这在大部分攻击场景下是不具备的。事实上,该钱包已经对助记符进行了加密存储,只是攻击者逆向出了加密算法。对于这类问题,更关键的是相关应用厂商采用安全公司专业的root安全性检查方案,在用户手机系统被破解时及时提醒用户。
对此,北京链安建议:相关钱包应用加强对手机环境进行root权限检查,而各位用户也应该避免在越狱手机上使用钱包、交易所App。[2018/11/22]
有黑客大规模获取服务器权限植入挖矿程序:据慢雾区发布的安全预警消息称,「阿里云安全」披露,有攻击者利用 Hadoop Yarn 资源管理系统 REST API 未授权访问漏洞进行攻击,大规模获取服务器最高权限并植入挖矿程序。钱包、交易所应注意防范,对全节点、热钱包做好隔离,另外,Hadoop 2.X 以上版本提供了安全认证功能,建议开启 Kerberos 认证。[2018/5/5]
对受害者合约的0x50b158e4(withdrawFromUser)函数反编译结果如下:
可以看到只有msg.sender即:攻击合约XXX拥有权限方可转账成功。查看历史交易可以发现:122天前合约部署人给现任管理员授权;
而后,一天前现任管理员创建攻击合约XXX。
现任管理员给攻击合约XXX授权。
随后DAOMakerExploiter1调用攻击合约XXX发起攻击获得大量USDC,将其转换为ETH后转账给DAOMakerExploiter2。可以确定至少在一天之前DAOMakerExploiter1和现任管理员是同一个人在操作!!!攻击者获得现任管理员的控制权;?管理员创建了攻击合约XXX并对其授权;DAOMakerExploiter1调用攻击合约XXX获利。因此,本次攻击原因很可能是现任管理员密钥被盗取,SharkTeam提醒您类似授权的关键函数应该更多的使用多签技术,避免单点攻击风险。二、安全建议SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
注:原文来自ethresear.ch,作者是leohio。感谢AlexGluchowski以及BarryWhitehat提供的意见和看法.
巴比特讯,VUELE?首部故事片《ZEROCONTACT》的NFT在四天拍卖中获得近六位数的票房收入,该片由奥斯卡获奖最佳男演员安东尼霍普金斯主演.
链集市?·让区块链落地更简单 《区块链行业观察》专栏·第55?篇作者丨SaskiaHillmann&NicolRosenkranz 图片丨来源于网络 瑞士酒店协会主席兼瑞士区块链初创企业.
巴比特讯,9月29日,以太坊2.0客户端PrysmaticLabs发布关于客户端多样性的声明。据PrysmaticLabs介绍,Prysm在网络中运行着绝大多数质押ETH以及大量节点,以太坊权益.
作者:全球知名风投机构A16z合伙人ChrisDixon 原文链接:A16z Web1.0是关于去中心化和社区管理的开放协议。大部分价值都归于网络的边缘——用户和建设者.
传统上中央银行承担向公众发行现金的任务。随着数字化的发展,纸币正在成为技术上过时的支付工具一些中央银行已经在探讨中央银行发行电子货币用于零售支付的可能性.