北京時間12月14日晚5點40分,CertiKSkynet天網監控發現一筆來自NexusMutual創始者HughKarp賬戶的巨額交易,該交易轉移共37萬NXM代幣到不明賬戶中。CertiK安全驗證團隊迅速展開調查分析,認為該次交易是針對HughKarp賬戶的黑客攻擊。順便給大家計算了一下37萬NXM=833萬美金
Arbitrum:“Sequencer資金用完”報道不實:金色財經報道,Arbitrum Sequencer(排序器)今日凌晨出現Bug,導致該網絡批量提交交易的功能短暫中斷,交易無法在主鏈上得到確認,目前問題已得到解決。Arbitrum Developer官推在社交媒體就相關問題進行了澄清,表示網絡臨時暫停只是為了完成交易排序,而Sequencer服務本身沒有中斷,有報道稱Sequencer資金用完是不正確的。Arbitrum Developer官推進一步解釋稱,Arbitrum資金機制由兩個錢包組成,分別是:“Sequencer”錢包和“gas-refunder”錢包,只有當Sequencer可以成功發布批次時才會被退款,Arbitrum網絡沒有就此故障向Sequencer退款,相關問題也不是因為Sequencer資金耗盡所致。[2023/6/8 21:23:34]
BNB Chain將通過Fjord啟動Balancer流動性引導池:12月19日消息,BNB Chain通過Fjord啟動Balancer流動性引導池,將允許新項目無縫且公平地產生流動性。流動性引導池最初將支持ERC-20代幣,并將于2023年通過Fjord NFT在BNB Chain上公平發布NFT。[2022/12/19 21:54:21]
事件經過
整個攻擊流程如下:攻擊者賬戶地址為:0x09923e35f19687a524bbca7d42b92b6748534f25部分攻擊獲得代幣已經通過交易0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a在1inch.exchange進行交易。攻擊交易地址:0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629
近24小時,Balancer上各交易對交易量總和超2834萬美金:據Coingecko數據,近24小時,去中心化交易所Balancer上交易對成交額總和超2834萬美金。其中,交易對YFII/DAI、BAL/ETH、WNXM/ETH交易額分列前三位,分別為410萬美金、383萬美金、284萬美金。[2020/8/22]
圖一:攻擊交易細節截圖根據官方披露細節,攻擊者通過獲得HughKarp個人計算機的遠程控制后,對計算機上使用的Metamask插件進行修改,并誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。
Balancer (BAL)上線MXC抹茶,開盤最高漲幅850%:官方公告,Balancer (BAL)上線MXC抹茶,開盤價為2 USDT,最高報價19 USDT,最高漲幅850%,現報15.68 USDT。據BAL官方資料顯示,Balancer Pool是一個具有自平衡屬性的自動化做市交易協議,屬性可生成加權投資組合和價格傳感器。詳情請閱讀相關公告。[2020/6/24]
CertiK團隊根據目前已有信息,推測Hugh在日常使用Metamask時,被攻擊者修改后的插件生成了這筆巨額代幣的轉賬請求,隨后Hugh使用他的硬件錢包簽名了這筆交易。作為一個應用,瀏覽器插件和普通網站的前端組成是相似的,它們都由HTML和JavsScript搭建而成。瀏覽器插件的代碼會存在用戶的電腦中。關于黑客是如何修改的Metamask插件的,因此CertiK團隊做出以下猜測:1.黑客在獲得了在HughKarp的個人電腦的控制權后,通過遠程桌面打開瀏覽器,直接安裝了修改過后的Metamask插件。2.黑客在HughKarp的個人電腦上找到了Metamask插件的安裝路徑,對其中代碼進行了修改,在修改完成后,將修改后的插件加載到瀏覽器中。3.黑客利用瀏覽器自帶的的命令行工具,修改瀏覽器安裝的插件。官方披露的細節中提到了HughKarp使用的是硬件錢包,但并未說明是哪款硬件錢包。應是Trezor或者Ledger之一,因為Metamask只支持以上兩個硬件錢包。在使用硬件錢包的情況下,Metamask中的交易需要在硬件錢包中進行確認并使用存在硬件錢包中的私鑰簽名。目前上面兩款硬件錢包在硬件的確認交易時,硬件屏幕上都會顯示轉賬接受地址,以供使用者進行最終確認。此次攻擊中,黑客應該無法修改硬件屏幕中交易確認界面顯示的地址,由此推測HughKarp在硬件錢包上進行最終確認時,并未留意到交易的對象是黑客的地址。
圖二:Ledger確認交易時的屏幕顯示來源:https://www.youtube.com/watch?v=9_rHPBQdQCw安全建議
區塊鏈保險平臺創始人賬號被攻擊,更是說明了保險的重要性。高密度爆發的黑客事件是一個警示。在區塊鏈的網絡世界中無論你是什么人,擁有怎樣的角色身份,黑客不會因為你的僥幸心理就繞過你,安全事故造成的損失可能會發生在每個人身上。而且就算使用硬件錢包,人也不可能一輩子百分之一百不犯錯誤。CertiK前些時間發布的系列文章精確的闡述了保險的不可或缺性。CertiK安全驗證團隊根據此次攻擊,提出如下安全建議:1.任何安全系統和操作環境不僅需要程序安全驗證,更加需要專業的滲透測試來對整體產品安全進行驗證。2.為了確保數字資產不因任何非技術原因遭受損失,項目方應及時為項目產品購買保險,增加項目方和投資者的安全保障方案,確保其因受到攻擊所造成的損失可以被及時補償。歡迎搜索微信關注CertiK官方微信公眾號,點擊公眾號底部對話框,留言免費獲取咨詢及報價!
Odaily星球日報譯者|念銀思唐 摘要: -黑客網站Raidforums上已經公開了一個包含超過百萬封Ledger客戶電子郵件的數據庫.
1900/1/1 0:00:00作者BowenLiu新加坡科技設計大學bowen_liu@mymail.sutd.edu.sgPawelSzalachowski新加坡科技設計大學pawel@sutd.edu.
1900/1/1 0:00:00作為區塊鏈的底層架構,公鏈既能保證去中心化交易的安全和匿名,又能滿足不同交易場景的高頻交易需求。研發高性能的公鏈,一直是公鏈研發機構的終極目標.
1900/1/1 0:00:00編者按:本文來自萌眼財經,Odaily星球日報經授權轉載。加密貨幣領域一直沉迷于2017年冬季的牛市,但隨著比特幣突破其歷史最高價19655美元,加密世界可能正在向未知領域進發.
1900/1/1 0:00:00文|Azuma編輯|郝方舟出品|Odaily星球日報 轉眼間,2020年已接近尾聲。「疫情」無疑這魔幻的一年里最大的主題.
1900/1/1 0:00:00本文來自Sifchain官方,作者LukeKim,由Odaily星球日報秦曉峰編譯。關于Sifchain項目介紹,推薦閱讀《專訪Sifchain創始人JazearBrooks:如何打造高性能跨鏈.
1900/1/1 0:00:00