買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > MANA > Info

OIN:黑客代碼導致 3 億增發——RVN 漏洞事件全回顧_COIN

Author:

Time:1900/1/1 0:00:00

6月29日,SolusExplorer開發團隊CryptoScope的一個程序員在回歸測試時,發現瀏覽器統計的RVN余額出了問題,在深入排查問題后,他確認主網出現了很多異常的RVN增發操作,隨后快速聯系Ravencoin官方團隊成員反饋了這個bug。

在與RVN開發團隊溝通后,CryptoScope決定暫時關閉SolusExplorer的部分入口,以降低其他攻擊者利用漏洞的可能性,為官方團隊解決問題贏得了一定時間。

7月3日,RVN團隊向社區發布了緊急更新,并最終于7月4日在1,304,352區塊上對Ravencoin網絡進行了程序修復。

7月8日,RVN官方解釋稱,本次漏洞是由于黑客提交的惡意PR引入的bug導致。

安全團隊:WEEB遭受閃電貸攻擊,黑客獲利約16ETH:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,WEEB項目遭受價格操控攻擊(0xcb58fb952914896b35d909136b9f719b71fc8bc60b59853459fc2476d4369c3a),黑客利用WEEB代幣中的performUpkeep函數,將pair中大量WEEB代幣的余額燒毀,從而提高WEEB價格,獲利16ETH。目前資金仍在黑客地址中(0xe9ba23db4cab47621d72b7a51ef166992a025b16),Beosin Trace將持續對資金流向進行監控。[2023/5/10 14:53:59]

此次漏洞共導致RVN增發3.01億枚,相當于原有210億總供應量的1.44%,已有供應量的4.6%。

安全團隊:虛擬化身平臺GENIES的Discord服務器遭黑客入侵:6月29日消息,安全團隊CertiK今日發推文稱,虛擬化身平臺GENIES的Discord服務器遭黑客入侵,其官方Discord的公告頻道中發布了釣魚鏈接,提醒用戶不要點擊相關鏈接。

此前4月份消息,GENIES以10億美元估值完成1.5億美元融資,Silver Lake領投。[2022/6/29 1:38:37]

根據追蹤,大量增發的RVN被拆開發往不同的地址,并最終轉到了交易所,官方定位到了以下3個地址:

RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK

RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8

跨鏈橋Wormhol受到黑客攻擊,被盜3.26億美元:金色財經報道,跨鏈橋Wormhole從Solana那一側被黑客攻擊,whETH被無限增發并且從以太坊上提走了所有的ETH。Wormhole被盜資金價值超過3.26億美元。該項目的官方推特證實了這一消息,官方稱,團隊正在調查一個潛在的漏洞,該橋目前處于關閉狀態,而官方網站只有:”門戶網站暫時不可用”的提示。(Coindesk)[2022/2/3 9:28:52]

RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs

RVN團隊表示已經追蹤到其中一個黑客團隊的線索,并已經掌握攻擊者的信息,希望其將增發的RVN轉至特定的地址進行銷毀。RVN團隊稱已有總計約390萬枚增發的RVN被銷毀。

泰勒公司遭受2500余個ETH黑客攻擊:近日,泰勒公司(Taylor)官方發布消息稱,22日,公司遭到黑客入侵,所有資金都被盜了,包括2578.98 ETH,還有TAY令牌。唯一沒有被盜的代幣是來自創始人和顧問團隊的代幣。根據官方消息,黑客與盜取CypheriumChain項目為同一個組織。同時還監測到,黑客企圖將偷來的加密貨幣轉移到IDEX,公司稱聯系了EtherDelta,但未得到任何回應。隨后團隊在23日官方更新消息稱黑客入侵事件仍在調查中。[2018/5/27]

此外,官方團隊沒有通過類似ETH硬分叉的形式來解決攻擊,而是間接承認了這些增發幣的有效性。為了保證總供應量不變,官方給出的建議方案是降低未來挖礦總收益,不過這個方案還需要得到社區的認可,并最終通過鏈上BIP9升級后才能生效。

此次漏洞除了增加RVN的通脹率之外,不會影響用戶已有的RVN資產和轉賬。

RVN原有發行總量為210億,出塊時間為1分鐘,目前的區塊獎勵為5,000個RVN,每210萬個區塊后獎勵會減半,也就是約4年減半一次。根據官方目前給出的方案,每次減半將比之前提前59,580個區塊。

攻擊者行為復盤

1月16日,名為WindowsCryptoDev的開發人員在RavencoinGithub提交了一個PR,表面看起來是在完善節點返回的報錯信息,該PR很快就得到了Ravencoin官方人員的反饋,并合并進主分支。

PR詳情

原先的代碼,對于asset相關的交易,只要交易的RVNoutputvalue不是0,都會返回“bad-txns-asset-tx-amount-isn't-zero”報錯信息。

該PR針對不同的asset交易類型進行了報錯信息優化,表面看起來是為了方便開發者區分具體的報錯原因,但是黑客留了一個后門,即沒有針對TX_REISSUE_ASSET進行報錯信息優化。注意,這樣帶來的后果不僅僅是報錯信息不可分辨,而是將原本不合法的交易判斷為合法的交易,最終導致了RVN的增發。

1月17日,黑客在Ravencoin主網持續發布TX_ISSUE_ASSET交易,為后續的TX_REISSUE_ASSET攻擊提供基礎。

5月9日,黑客開始每隔2小時在Ravencoin主網發起一個TX_REISSUE_ASSET交易,增發500,000RVN到自己的地址,該行為一直持續到?7月3日,此時黑客察覺到官方已經準備對bug進行修復。

7月4日,主網上還出現了3筆新的攻擊交易,增發了兩筆1,000,000RVN和一筆2,804,398RVN,不過這3筆攻擊交易應該都不是之前的黑客所為。

從SolusExplorer統計來看,最終總增發量為301,804,400RVN,也就是超過3.01億RVN。

安全提示

雖然此次漏洞只影響了Ravencoin網絡,但是還有很多其它區塊鏈系統也遇到過類似的安全問題。例如Bitcoin曾經在2018年被爆出過類似嚴重的安全漏洞,攻擊窗口從2017年10月持續到2018年8月,同時影響了所有2017年10月之后基于Bitcoin代碼開發的新幣種。不過當時的bug并不是黑客惡意引入,而是開發人員的錯誤導致,值得慶幸的是,該bug在被開發人員修復之前沒有被任何黑客利用。

對于區塊鏈開源項目來說,代碼貢獻者的技術能力、貢獻動機等因素都存在諸多不確定性,因此在代碼review上需要核心開發團隊把好關。

Tags:RVNCOINCOIOINrvn幣挖礦收益計算器QueenDex CoinDogcoincoincheck是什么意思

MANA
DEFI:瘋狂的DFS,也帶不動EOS大豐收_NeosCoin

最近DeFi概念很火,帶動了一大波數字貨幣的上漲。可熱鬧基本都屬于以太坊,而曾經最有望超越以太坊的明星公鏈——EOS則冷清許多。EOS當然不會坐視DeFi熱潮的錯失,甚至希望借此實現彎道超車.

1900/1/1 0:00:00
ETH:一文讀懂ETH 與ETH 2.0基礎信息與挖礦特點_ETHHEDGE幣

作者:Future小哥哥 01?什么是ETH? ETH是Ethereum網絡的原生通證,作為網絡生態中價值流通的主要介質.

1900/1/1 0:00:00
DAI:DeFi | 一文讀懂最火爆的流動性挖礦_Restaurant DeFi

作者:RyanSeanAdams 翻譯:Liam 流動性挖礦簡要指南 許多DeFi協議正試圖通過用治理代幣激勵用戶的方式來引導他們的網絡效應.

1900/1/1 0:00:00
OTC:行情分析 | 大盤震蕩上行,關鍵阻力位來了_HOTCROSS價格

作者|哈希派分析團隊 金色財經合約行情分析 | 主流幣價格反復,DeFi板塊普漲:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報11587美元(+0.95%).

1900/1/1 0:00:00
SEC:觀點 | 數字經濟中應首選哪些數字資產進行流通交易?_SeahorseChain

在首選的供交易的數字資產類型方面,美國市場和瑞士市場中的選擇是不一樣的。美國前兩年,主要是用securitytoken也就是通證的方式來把不動產和私募基金數字化,然后在一些數字交易平臺中進行交易.

1900/1/1 0:00:00
NFT:流動性挖礦后,下一個 DeFi 殺手級應用會是什么模樣?_EFI

撰文:BrianFlynn,RabbitHole創始人 翻譯:盧江飛 從今年6月開始,DeFi行業的代幣出現了爆炸性增長,市場上也開始出現一些新的自動化做市商.

1900/1/1 0:00:00
ads