2022年6月24日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,由Layer1公鏈Harmony開發的以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊,損失金額約為1億美元。目前Harmony官方已通知交易所并暫停了Horizon跨鏈橋。成都鏈安安全團隊對此事件進行了分析,現與大家分享。
HarmonyBridge是一個跨鏈橋項目,由五個驗證者節點進行操作驗證,本次攻擊主要原因是由于兩個驗證者節點的私鑰疑似泄露,導致合約的confirmTransaction函數被成功調用。
ApeCoin新提案擬為以太坊社區提供100萬美元捐贈:4月16日消息,ApeCoin社區發起新提案AIP-230,旨在為以太坊社區提供100萬美元捐贈,其中包括向ETH Global捐贈30萬美元,以及向11場ApeCoin黑客松和至少5項公益活動贊助70萬美元。[2023/4/16 14:07:00]
#攻擊過程
攻擊者地址:
0x0d043128146654C7683Fbf30ac98D7B2285DeD00
NFT市場Magic Eden將于2月1日執行新的動態忠誠度交易獎勵計劃:金色財經報道,據Magic Eden在社交媒體公布,該NFT市場將于2月 1 日執行新的動態忠誠度交易獎勵計劃,用戶在平臺上交易越多,獎勵越豐厚,費用折扣將會反映在 Rewards Hub中。每進行 1 SOL 交易,用戶將獲得 5 個 “Magic Points”積分,獎勵系統根據收集的積分點數分為 5 個級別:Level 1 – 5,每個級別都可以獲得相應的獎勵,如折扣和交易成本優惠,用戶可以使用多個錢包,只要他們通過藏家個人資料連接到 Magic Eden 平臺即可。[2023/1/31 11:38:19]
私鑰疑似泄露地址:
華為申請數字藏品商標:金色財經報道,華為技術有限公司申請注冊多枚“華為云寶”“華為云云寶”商標,國際分類涉及教育娛樂、廣告銷售等,當前商標狀態均為申請中。據悉,此前華為云推出以品牌形象IP“云寶”為基礎的數字藏品。[2023/1/28 11:33:24]
0xf845A7ee8477AD1FB4446651E548901a2635A915
0x812d8622C6F3c45959439e7ede3C580dA06f8f25
被攻擊合約:
0x715cdda5e9ad30a0ced14940f9997ee611496de6
世界黃金協會調查:四分之一受訪央行有意增持黃金:6月9日消息,世界黃金協會(WGC)周三(6月8日)公布了其年度央行調查報告。結果顯示,25%的受訪央行希望在未來12個月內增持黃金,并且這個數字出現了逐年增加的趨勢。報告還指出,今年也是連續第二年沒有央行希望減持黃金。(財聯社)[2022/6/9 4:12:09]
示例哈希:
0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65
被攻擊的transactionId:21106-21118(eth),120515-120518(bsc)
私鑰泄露地址0x812d......8f25地址調用了0x715c......6de6合約的confirmTransaction函數進行操作驗證,此處我們以被攻擊的transactionId:21107進行分析。
可以發現在本次交易中,isConfirmed的驗證返回為true。
但是我們在合約中進行驗證者節點查詢會發現,雖然owner有五個,但是僅有兩名驗證者進行了驗證。
攻擊者就利用這兩個驗證者節點成功使用external_call獲取了相應的代幣,并反復利用此攻擊來獲利。
后續項目方通過transactionId為21126的交易將驗證者節點confirm通過的數量從2改為了4。
#資金追蹤
本次攻擊事件以太坊上損失了85,867個ETH,990個AAVE和78,500,000個AAG,BSC上損失了5,000個BNB和640,000個BUSD,共計約100,428,116美元,目前被盜資金還保存在攻擊者地址。成都鏈安將用鏈必追對被盜資金進行持續追蹤。
#事件總結
這次攻擊事件中,攻擊者利用了驗證者節點驗證通過需求數量較少的情況,利用兩個驗證者節點從而盜取了上億美金的資產。建議項目方在設計驗證者節點驗證數量需求盡量選擇較多節點,并且做好驗證者節點的節點安全。此外建議項目上線前選擇專業的安全審計公司進行全面的安全審計,規避安全風險。
來源:金色財經
Tags:SACTTRANSACTIONACTData Transaction TokentransfercoinTransaction Service feefactr幣如何交易
1.透過30+鏈上巨鯨數據翻看以太坊“歷史”本文以加密資產以太坊為例,對當前以太坊鏈上Top100的巨鯨地址進行整理,篩選出其中30+持倉均在15萬ETH的巨鯨們,試圖通過分析它們的關系.
1900/1/1 0:00:00對于上周的走勢來說,整體屬于震蕩上行,雖然震蕩上行,但整體屬于有勢無力,反彈并沒有想象中的那么強勢,那么在這種無力的反彈之下,不能對于多頭抱太高的期望.
1900/1/1 0:00:00大火的“元宇宙”正站上風口,吸引著越來越多企業、資本的關注和追捧,各行各業對元宇宙的擁抱熱情顯著,2022年已然成為元宇宙元年.
1900/1/1 0:00:00十多年來,科技公司一直嘗試在AR和VR中顛覆購物體驗的新方法,并告訴大眾這些技術將以無法想象的方式賦予消費者權力,所有的一切都將在短時間內成為主流.
1900/1/1 0:00:00星球日報訊根據Tokenview鏈上數據顯示,當前灰度總持倉量達169.47億美元,主流幣種信托溢價率如下:BTC,-28.99%; ETH,-31%; ETC,-60.18%;LTC.
1900/1/1 0:00:00隨著Optimism發幣、Arbitrum開啟Odyssey羊毛大戰,2022年下半年注定是L2百花齊放的階段。此前,鏈茶館已撰文詳述過及,而作為ZK系的另一個代表項目,ZKSync也值得關注.
1900/1/1 0:00:00