鏈聞消息,據慢霧區情報,DAOMaker的Vesting合約遭到黑客攻擊。DeRaceToken、Coinspaid、CapsuleCoin、ShowcaseToken都使用了DaoMaker的分發系統,在DAOMaker中進行持有者發行時因DAOMaker合約被攻擊,即SHO參與者的分發系統中出現了一個漏洞:init未初始化保護,攻擊者初始化了init的關鍵參數,同時變更了owner,然后通過emergencyExit將目標代幣盜走,并兌換成了DAI,攻擊者最終獲利近400萬美元。黑客利用Vesting合約中的漏洞,將Vesting合約中的代幣提走,如下是簡要分析:對Vesting合約的實現合約0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2進行反編譯得到如下信息:1.Vesting合約中的init函數(函數簽名:0x84304ad7),沒有對調用者進行鑒權,黑客通過執行init函數成為Vesting合約的Owner。2.Owner可以執行Vesting合約中的emergencyExit函數,進行緊急提款。
分析 | 慢霧分析 MimbleWimble攻擊思路:本質上是一種中間人攻擊思路:慢霧關于Dragonfly Capital研究員披露MimbleWimble隱私缺陷的一些補充觀點:
1. 攻擊思路本質上也是一種中間人攻擊思路:通過需要付出一些成本的“嗅探節點”技術監聽MimbleWimble的聚合前的交易流量,以此分析發現from/to兩個關鍵隱私因子的值,雖然不知道 value(金額),但有能力知道許多交易的來源與去向,但不是完全;
2. 這種“嗅探”思路類似美國等國家針對暗網Tor網絡的溯源思路,通過部署或控制的足夠多的節點來抓取Tor網絡里的IP連接。但針對MimbleWimble網絡,由于節點P2P通信特點,倒是不需要部署或控制許多節點;
3. MimbleWimble協議需要進化以應對這種“嗅探”技術,但我們都知道 Grin、Beam 不僅 MimbleWimble 協議,隱私策略在上層也有加強空間;
4. 隱私幣在鏈上本質要解決的核心問題是:from/to/value 的隱私問題,但隱私不僅是鏈上的,還有鏈下部分,比如IP等隱私,這是所有隱私幣都需要面對的問題。雖然MimbleWimble 這個純鏈上的隱私技術不完美,這是必然的,完美是不存在的,不僅是MimbleWimble;
5. 隱私是一個工程級問題,Dragonfly Capital研究員的對抗思路也是工程級的,在工程級對抗上,不存在完美的隱私幣;
5. 期待隱私幣的一系列進化,在超級對抗中能進化的都是好隱私幣。[2019/11/19]
聲音 | 慢霧科技余弦:區塊鏈行業很多小公司 喜歡辦公去中心化:安全公司慢霧科技聯合創始人余弦在微博上稱,區塊鏈行業真是很多小公司,甚至只有一個人的,喜歡辦公去中心化。很多優秀知名的項目,人也很少,像我們這樣的都算比較多人的了...從我個人角度,我喜歡這種小而美的公司,利潤還不錯,做大還是做強,人數多少永遠不是重點,創造好價值,賺到錢,如果不小心還能影響點世界的話,何其幸運。[2019/10/10]
金色獨家 慢霧安全團隊:有至少6種途徑導致 EOS 私鑰被盜:針對 EOS 私鑰被盜事件,金色財經特邀請慢霧安全團隊對此事進行解讀,慢霧安全團隊表示:EOS 投票關鍵期頻發私鑰被盜問題,慢霧安全團隊綜合 Joinsec Red Team 攻防經驗及地下黑客威脅情報分析,可能的被盜途徑有:
1、使用了不安全的映射工具,映射使用的公私鑰是工具開發者(攻擊者)控制的,當 EOS 主網上線后,攻擊者隨即 updateauth 更新公私鑰;
2、映射工具在網絡傳輸時沒有使用 SSL 加密,攻擊者通過中間人的方式替換了映射使用的公私鑰;
3、使用了不安全的 EOS 超級節點投票工具,工具開發者(攻擊者)竊取了 EOS 私鑰;
4、在不安全的 EOS “主網”、錢包上導入了私鑰,攻擊者竊取了 EOS 私鑰;
5、用戶存儲私鑰的媒介不安全,例如郵箱、備忘錄等,可能存在弱口令被攻擊者登錄竊取到私鑰;
6、在手機、電腦上復制私鑰時,被惡意軟件竊取。
同時,慢霧安全團隊提醒用戶自查資產,可使用公鑰(EOS開頭的字符串)在 https://eosflare.io/ 查詢關聯的賬號是否無誤,余額是否準確。如果發現異常并確認是被盜了,可參考 EOS 佳能社區 Bean 整理的文檔進行操作 https://bihu.com/article/654254[2018/6/14]
一、項目介紹 TRAVA是世界上第一個去中心化的跨鏈貸款市場。雖然現有包含自己的參數de方法僅提供一個或幾個貸款池,如借款/供應利率、清算閾值、貸款價值比或有限的可交換加密貨幣列表,但TRAVA.
1900/1/1 0:00:00REVO/USDT、REVO/ETH、REVO/BTC新版流動性礦池模式)已正式上線,交易市場50%手續費收益將新增投入到流動獎金池中;Taker和Maker手續費即日起調整至0.3%.
1900/1/1 0:00:001.關于首發項目FlurryFinance(FLURRY)免費分發結果Gate.ioStartup首發項目FlurryFinance代幣FLURRY于2021年09月05日16:00開始認購下單.
1900/1/1 0:00:00本期投票上幣活動已圓滿結束,感謝廣大用戶的參與和支持。Gate.io投票上幣活動將持續帶來更多有潛力的優質項目,敬請期待.
1900/1/1 0:00:00據澎湃新聞消息,9月7日,浙江東陽市檢察院起訴的一起數字貨幣詐騙系列案陸續審理宣判,共有171名被告人獲刑。該系列案涉案金額3.8億余元,被害人上千名.
1900/1/1 0:00:00尊敬的社區用戶: 為滿足廣大用戶交易需求,BHEX將于2021年9月3日09:30在新USDT本位合約交易區上線AVAXUSDT、NEARUSDT、MATICUSDT、MDXUSDT、SRMUS.
1900/1/1 0:00:00