慢霧分析 Poly Network 被黑：跨鏈合約 keeper 被修改為黑客制定地址_CRO:OSS

鏈聞消息，針對跨鏈互操作協議PolyNetwork被黑客攻擊的事件，慢霧安全團隊分析稱是由于跨鏈合約keeper被修改為黑客制定地址，從而使黑客可以隨意構造交易從合約中取出任意數量的資金，具體如下：1.本次攻擊的核心在于EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數執行具體的跨鏈交易。2.由于EthCrossChainData合約的owner為EthCrossChainManager合約，因此EthCrossChainManager合約可以通過調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數修改合約的keeper。3.其中EthCrossChainManager合約的verifyHeaderAndExecuteTx函數是可以通過內部調用_executeCrossChainTx函數執行用戶指定的跨鏈交易，所以攻擊者只需要通過verifyHeaderAndExecuteTx函數傳入精心構造的數據來使_executeCrossChainTx函數執行調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數以改變keeper角色為攻擊者指定的地址。4.替換完成keeper角色地址后，攻擊者即可隨意構造交易從合約中取出任意數量的資金了。

慢霧：靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息，據慢霧區情報，靚號黑客地址之一（0xf358..7036）已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元，并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現，黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前，黑客已經接收到超過17萬美元的資金，資金沒有進一步轉移，地址痕跡有Uniswap V3、Curve、TraderJoe，PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]

慢霧科技啟富：慢霧將與 HyperPay 團隊持續保持密切戰略合作:11月6日消息，慢霧科技合伙人啟富在做客《HyperPay焦點》欄目時提及：數字貨幣的安全問題一直是用戶最關心的問題。HyperPay 作為一款錢包更是應該重視安全。數字資產錢包關聯的私鑰意味著數字資產的所有權，私鑰的安全性直接決定數字資產的安全性。之前 HyperPay 錢包也全項通過了慢霧科技錢包安全審計，希望 HyperPay 繼續保持高效安全，融合更多的功能打造出一款具有革命性和獨創性的區塊鏈錢包產品。慢霧希望與 HyperPay 團隊持續保持密切戰略合作，共同維護區塊鏈生態安全。[2020/11/6 11:51:16]

聲音 | 慢霧余弦：MimbleWimble并沒完全解決“交易隱私”問題:區塊鏈安全公司慢霧創始人余弦發微博稱，MimbleWimble并沒完全解決“交易隱私”問題，它讓交易在區塊鏈上不會暴露隱私，這個實現確實很漂亮，但由于它交易的特殊性，這導致相比其他匿名貨幣，基于 MimbleWimble 實現的在鏈下隱私與安全會遭遇更大挑戰。[2019/3/22]

Tags：CHACROCROSOSSintchainCROS TokenCrossFiDOGBOSS幣

火星幣