慢霧：門羅幣鎖定轉賬攻擊可鎖定交易所 XMR 流動性，但不會導致資金損失_LOCK:REEFER幣

該攻擊不會導致交易所任何資金損失，但是會鎖定了交易所XMR流動性。

原文標題：《門羅幣(XMR)鎖定轉賬攻擊細節分析》作者：team

近日據慢霧區情報顯示，針對門羅幣(XMR)轉賬鎖定攻擊在多個交易所出現，慢霧安全團隊在收到情報第一時間進行分析跟進，本著負責任披露的原則我們第一時間在慢霧區進行了預警并為我們所服務的客戶進行了及時的情報同步以及協助檢測和修復。如有其他需要提供驗證和檢測服務歡迎聯系慢霧安全團隊。

攻擊步驟

0x01：通過monero-wallet-cli輸入密碼登錄錢包

0x02：通過命令發送鎖定交易

慢霧：過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息，慢霧發推稱，過去一周Web3生態系統因安全事件損失近160萬美元，包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]

0x03：轉賬完成，交易所未進行鎖定交易(locked_transfer)檢測，接收到被設置鎖定區塊高度才能解鎖的幣(可以理解為鎖定了指定時間)。

0x04：惡意用戶立即提幣走人，留下交易所一臉懵逼。

造成影響

首先該攻擊不會導致交易所任何資金損失，但是會鎖定了交易所XMR流動性。

慢霧：警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息，Honeyswap官方推特發文，Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官網仍未刪除該惡意地址，請立即停止使用Honeyswap進行交易，到revoke.cash排查是否有approvals 交易到惡意地址，避免不必要的損失。[2022/5/10 3:03:22]

極端情況舉例：如果交易所收到的都是需要鎖定一年甚至更多年的門羅幣則會導致一年內用戶來提幣的時候無幣可以提(只能去購買額外的幣來給用戶提取)。

慢霧：有用戶遭釣魚攻擊，在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息，有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析，此是由于該受害用戶遭受釣魚攻擊，錯誤的對攻擊者精心構造的惡意訂單進行簽名，惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配，并以攻擊者指定的極低價格成交，導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

關于locked_transfer命令

monero-wallet-cli關于locked_transfer命令解釋如下：

locked_transfer](|)

轉賬命令：locked_transferFromAddressToAddress0.010120000

FromAddress：發送地址(一般為攻擊者錢包地址)ToAddress：接收地址(一般為交易所錢包地址)0.0101：為轉賬金額20000：為鎖定區塊數

如何防護

一般交易所會通過get_transfersRPC接口來解析XMR交易檢測充值是否到賬，在進行解析的時候只需要對unlock_time字段進行判斷是否大于0則可以進行有效檢測。

注：unlock_time為int類型，如果大于0則意味著該交易有鎖定區塊，為惡意交易可以不予確認到賬。為了避免充值不予到賬損害「用戶」利益可以進行另外一種處理：判斷鎖定區塊是否到達，如果未到達則不予入賬。

所有受影響RPC接口

get_transferget_bulk_paymentsshow_transferget_payments

同理：在其他地方使用了如上四個接口的地方也需要對unlock_time字段進行判斷是否大于0，大于0則不予充值到賬。

該問題之前在HackerOne也有被白帽子提過漏洞賞金，其中門羅官方回復：

文章鏈接：https://hackerone.com/reports/417515

附：官方文檔摘錄

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

Chinanews

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/4090323.html

門羅幣XMR

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

詳解DeFi借貸項目資產安全性：以MakerDAO、Compound與Dharma為例

下一篇：

幣安與黑客談判記錄首次披露，梳理幣安KYC泄露事件始末

Tags：LOCKANSTRAFERYieldLockTransferChaintra幣最新消息REEFER幣

MANA