安全團隊：BXH被盜資金出現異動，超1700萬美元資金被跨鏈轉移到BTC網絡_EOS:MPT

9月4日凌晨，慢霧監控到BXH被盜資金出現異動，經慢霧MistTrack分析，異動詳情如下：1/BSC鏈，黑客地址0x48c9...7d79ApproveCakeToken給PancakeSwap。2/ETH鏈，黑客地址0x48c9...7d79將3987.78WETHWithdraw成ETH。3/ETH鏈，黑客地址0x4967...Eb35使用Uniswap、Curve將DAI全部兌換為renBTC和WBTC，兌換后總數分別為858.0454renBTC和795.2618WBTC；其中858.0454renBTC已全部跨鏈到BTC鏈，跨鏈后地址為1DYR...heSF，目前BTC暫未進一步轉移。截止目前，BXH被盜資金并沒有出現轉移到交易所的情況，全部被盜資金仍在黑客地址中。慢霧MistTrack將持續監控被盜資金的轉移。

安全團隊：NFT項目Worlds Beyond Discord服務器遭到攻擊:金色財經報道，據CertiK監測，NFT項目Worlds Beyond Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊其發布的任何鏈接。[2023/1/3 22:22:32]

Cobo安全團隊詳解Stargate漏洞：可能導致偽造的交易receipt通過MPT驗證:3月29日消息，Cobo安全團隊撰文對Stargate跨鏈橋底層協議LayerZero的安全漏洞進行分析，稱原始漏洞代碼在進行MPT 驗證時，沒有限制pointer 在proofBytes 長度內，這個漏洞有可能讓攻擊者偽造hashRoot，導致偽造的交易receipt 可以通過MPT 驗證。最終可造成的后果是，在預言機完全可信的前提下，Relayer 仍可以單方面通過偽造receipt 數據的方式來實現對跨鏈協議的攻擊。

值得注意的是，此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼，是整個LayerZero及上層協議（例如Stargate）正常運作的基石。Cobo安全團隊還表示，LayerZero項目的關鍵合約目前大都還被EOA控制，沒有采用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏，也可能會導致所有上層協議的資產受到影響。[2022/3/29 14:24:49]

金色獨家 慢霧安全團隊：有至少6種途徑導致 EOS 私鑰被盜:針對 EOS 私鑰被盜事件，金色財經特邀請慢霧安全團隊對此事進行解讀，慢霧安全團隊表示：EOS 投票關鍵期頻發私鑰被盜問題，慢霧安全團隊綜合 Joinsec Red Team 攻防經驗及地下黑客威脅情報分析，可能的被盜途徑有：

1、使用了不安全的映射工具，映射使用的公私鑰是工具開發者(攻擊者)控制的，當 EOS 主網上線后，攻擊者隨即 updateauth 更新公私鑰；

2、映射工具在網絡傳輸時沒有使用 SSL 加密，攻擊者通過中間人的方式替換了映射使用的公私鑰；

3、使用了不安全的 EOS 超級節點投票工具，工具開發者(攻擊者)竊取了 EOS 私鑰；

4、在不安全的 EOS “主網”、錢包上導入了私鑰，攻擊者竊取了 EOS 私鑰；

5、用戶存儲私鑰的媒介不安全，例如郵箱、備忘錄等，可能存在弱口令被攻擊者登錄竊取到私鑰；

6、在手機、電腦上復制私鑰時，被惡意軟件竊取。

同時，慢霧安全團隊提醒用戶自查資產，可使用公鑰(EOS開頭的字符串)在 https://eosflare.io/ 查詢關聯的賬號是否無誤，余額是否準確。如果發現異常并確認是被盜了，可參考 EOS 佳能社區 Bean 整理的文檔進行操作 https://bihu.com/article/654254[2018/6/14]

Tags：EOSBTCLAYERMPTeosdac幣怎么沒了ubtc幣發行總量Pepe Slayerimpt幣最新消息

波場