链资讯 链资讯
Ctrl+D收藏链资讯

慢雾首席信息安全官:暗网情报称Android和iOS的RCE 0-day漏洞正在出售

作者:

区块链

时间:2024/4/15 13:15:50

金色财经报道,慢雾首席信息安全官(CISO)23pds在X平台发文表示,暗网情报称Android和iOS的RCE0-day漏洞正在出售。

攻击类型:0click/1Click;攻击方式:图像/短信,从而控制设备。

RCE(远程代码执行)零日漏洞是指黑客利用新发现的软件漏洞在开发人员修补之前访问用户信息或计算机。目前待验证,加密货币用户请注意手机厂商更新提醒。

其它快讯:

慢雾:AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报,近期 AToken 钱包(atoken.com)疑似遭受到攻击,用户在使用 AToken 钱包后,币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了,但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作:

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案,对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包,用于后续可能需要的取证等操作。

5. 如果资产已经被盗,可以先梳理被盗事件的时间线,以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 0:05:12]

慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。

本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。

一)xBNTa 合约攻击分析

1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。

2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的

3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。

二)xSNXa 合约攻击分析

1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。

2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取

3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。

总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。[2021/5/13 10:52:08]

声音 | 慢雾余弦:研究加密货币是出于技术热爱:区块链安全公司慢雾创始人余弦发微博称,研究加密货币是出于技术热爱,这些年其实研究了不少主流币种还有些小币种,多少都发现了些问题,其中有不少是安全问题。后来联合创建了慢雾科技 ,致力于做好区块链生态的安全。我提 MimbleWimble 的隐私与安全问题,不代表我不喜欢 Grin 和 BEAM,反而我在持续持有,就好像我很早就研究门罗币、Zcash 的安全问题,我也在持续持有它们。有漏洞根本不是什么大问题,不改进不进化才是大问题。我尽量客观做好安全技术研究,输出的观点千万不要过度解读,尤其不要解读出“做多做空”,投资加密货币的讨论,我一概不参与、不站台、不背书。[2019/3/24]

相关资讯
华夏基金已获得香港证监会批准发行比特币及以太坊现货ETF

金色财经报道,华夏基金(香港)获得香港证监会批准,可向投资者提供虚拟资产管理服务。现计划发行能够投资于现货比特币和现货以太币的ETF产品。 华夏基金(香港)表示,将与OSL数字证券有限公司和中银国际英国保诚...

区块链:2024/4/15 13:56:26
贝莱德IBIT截至4月12日比特币持仓量超27万枚BTC

4月15日消息,贝莱德官方数据显示,截至4月12日,旗下现货比特币ETFIBIT的比特币持仓量达到270,976.75760枚BTC,市值约合18,110,270,932.68美元,当前流通股数量升至472,840,...

区块链:2024/4/15 13:48:47
ONDO突破0.95美元,日内涨幅达24.5%

金色财经报道,行情显示,ONDO突破0.95美元,现报0.9464美元,日内涨幅为24.5%。行情波动较大,请做好风险控制。 其它快讯: Elrond生态DEX项目Maiar发生系列可疑活动,目前已停...

区块链:2024/4/15 13:41:33
2.979亿枚USDT从Tether Treasury流入Kraken和Bitfinex

金色财经报道,据Lookonchain监测,在市场触底之后,有2.979亿枚USDT从Tether Treasury流入Kraken和Bitfinex。随后市场开始反弹。资金开始进入加密货币市场以逢低买入。 ...

区块链:2024/4/15 13:41:32
TON突破7美元,日内涨幅达16.5%

金色财经报道,行情显示,TON短时突破7美元,现报7.15美元,日内涨幅达到16.5%,行情波动较大,请做好风险控制。 其它快讯: AAU篮球项目Compton Magic与Swan Bitcoin ...

区块链:2024/4/15 13:34:19
DWF Ventures:预计比特币减半或将使Ordinals交易量呈指数级增长

金色财经报道,DWF Ventures在X平台发文分析比特币减半对Ordinals和Runes符文生态的影响,分析指出,随着比特币减半和Runes符文协议于4月份推出,Ordinals交易量或将推动呈指数级增长。值得...

区块链:2024/4/15 13:15:54
Anza:建议Solana主网Beta验证者使用V1.17.31版本

金色财经报道,Anza在社交媒体发文表示,建议Solana主网Beta验证者使用V1.17.31版本。此版本包含改进的功能,将有助于缓解Solana网络上持续存在的拥堵问题;并将在V1.18版本中继续进行改进。 ...

区块链:2024/4/15 13:08:31
韩国央行:参与Agora项目具有重大意义

金色财经报道,韩国央行周五表示,从一开始就参与由主要储备货币国家参与的改善跨境支付的项目“Agora”,该项目具有重大意义。 韩国央行在《2023年支付与结算报告》中介绍CBDC研发现状时做出评价表示,自2...

区块链:2024/4/15 13:01:26
EigenLayer生态全球黑客马拉松Hack AVS将于4月23日在DoraHacks平台开启

4月15日消息,由前沿技术分享社区Hacker Dōjō发起,EigenLayer生态的全球黑客马拉松Hack AVS将于4月23日在全球极客运动平台DoraHacks.io开启。本次黑客松以EigenLayer的A...

区块链:2024/4/15 12:54:17
2024年市值前50的代币仅DOGE、SHIB等6种山寨币跑赢BTC

金色财经报道,TradingView数据显示,2024年初至今,市值前50的加密项目中仅有6种山寨币跑赢BTC,分别是DOGE、SHIB、STX、BNB、MNT和RNDR。比特币价格已从1月1日的44,100美元上涨...

区块链:2024/4/15 12:47:05
Backpack将于4月16日上线Parcl (PRCL)

金色财经报道,据官方消息,Backpack Exchange将于4月16日上线Solana链上房地产市场Parcl (PRCL)。 其它快讯: 宝莱坞明星Amitabh Bachchan的NFT收藏品...

区块链:2024/4/15 12:40:03
Bitcoin Puppets市值超越Pudgy Penguins,位居NFT市值排行榜第五

金色财经报道,行情显示,Bitcoin Puppets市值达4599 BTC(约2.99亿美元),超越Pudgy Penguins位居NFT市值排行榜第五。 其它快讯: Nansen上线Arbitru...

区块链:2024/4/15 12:33:09