[安全团队:BSC Token Hub跨链交易验证方式存在漏洞]10月7日消息,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
6)最终构造出该特定区块(110217401)的提款证明
Beosin Trace正在对被盗资金进行实时追踪。
其它快讯:
安全团队:slack使用者注意漏洞事件相关的邮件钓鱼和撞库等风险:8月11日消息,据慢雾安全团队,近期slack团队修复了用户在创建或撤销其工作区的邀请链接时会将用户的密码哈希发送给其他工作区的成员的漏洞。此漏洞影响了在2017年4月17日至2022年7月17日期间进行创建或撤销其工作区的邀请链接操作的所有用户。
目前slack团队已经强制重置了受影响用户的密码,慢雾安全团队提醒相关slack使用者注意关于此事件相关的邮件钓鱼、撞库等风险,及时修改与slack使用的密码一致的其他账户密码。[2022/8/11 12:18:51]
安全团队:Loner Beasts服务器遭入侵:7月25日消息,据CertiK监测,NFT项目Loner Beasts服务器已被入侵,提醒用户不要点击链接、铸造或批准任何交易。[2022/7/25 2:35:01]
安全团队:Ronin Network攻击者将6600ETH转移至Tornado Cash:金色财经消息,据CertiK安全团队监测,Ronin Network攻击者于近24小时内再次转移了资产,其中6600ETH(价值约 1870 万美元)转移至Tornado Cash,另外8721ETH转移至新钱包地址。
地址:①0x622163f3f21752d359216343df88e9108495ca14②0x002c93452d54b6d64bfa9879fcab14a74f1bdd44[2022/5/3 2:47:08]
郑重声明: 安全团队:BSC Token Hub跨链交易验证方式存在漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。