[安全团队:BSC Token Hub跨链交易验证方式存在漏洞]10月7日消息,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
6)最终构造出该特定区块(110217401)的提款证明
Beosin Trace正在对被盗资金进行实时追踪。
其它快讯:
安全团队:Doge Capital项目Discord服务器遭到攻击:8月5日消息,据CertiK监测,Doge Capital项目官方表示其Discord服务器遭到攻击,请社区用户不要点击、铸造或批准任何交易。[2022/8/5 12:03:53]
安全团队:ACC代币发生Rug Pull,损失达12万美元:6月6日消息,CertiK表示,经初步分析,ACC代币暴跌超70%,近期交易中有7笔被认定为可疑的Rug Pull,损失达12万美元。项目团队似乎拥有抛售代币的账户。
2022年4月12日,ACC代币部署器0x8045f108f39a3b4efa77b00d166a44479691902e铸造了7900,000枚ACC代币到0x8045f108f39a3b4efa77b00d166a44479691902e。
然后,该钱包在5月23日将395000枚ACC转移到0xb61eb71a492f47a5fd8e927081526abc2211f9ca。[2022/6/6 4:05:21]
安全团队:NFT项目Not Bored Apes Discord遭攻击并发布网络钓鱼链接:金色财经消息,据CertiK监测,NFT项目Not Bored Apes的Discord遭受攻击,一个mod账户似乎被黑,开始频繁发布网络钓鱼链接。请对官方未公布的Mint保持警惕。[2022/6/4 4:02:07]
郑重声明: 安全团队:BSC Token Hub跨链交易验证方式存在漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。