慢霧分析Poly Network被黑：事件原因并非keeper私鑰泄露，而是跨鏈合約keeper可被修改_ETH:Chain

巴比特訊，8月10日晚間，跨鏈互操作協議PolyNetwork遭到黑客攻擊，共計超6.1億美元轉出至3個地址，受此影響導致O3Swap跨鏈池大額資產被轉出。對此，慢霧安全團隊發布分析報告表示，這種攻擊主要是因為EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改，EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。因此，攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper，并非由于keeper的私鑰泄露而發生此事件。

慢霧：PAID Network攻擊者直接調用mint函數鑄幣:慢霧科技發文對于PAID Network遭攻擊事件進行分析。文章中指出，在對未開源合約進行在反編譯后發現合約的 mint 函數是存在鑒權的，而這個地址，正是攻擊者地址(0x187...65be)。由于合約未開源，無法查看更具體的邏輯，只能基于現有的情況分析。慢霧科技分析可能是地址(0x187...65be)私鑰被盜，或者是其他原因，導致攻擊者直接調用 mint 函數進行任意鑄幣。

此前報道，PAID Network今天0點左右遭到攻擊，增發將近6000萬枚PAID代幣，按照當時的價格約為1.6億美元，黑客從中獲利2000ETH。[2021/3/6 18:21:08]

金色財經獨家采訪 慢霧科技：此次EOS漏洞是真實存在的并且可信度非常高:今日，360表示EOS網絡存在漏洞，對此，金色財經獨家采訪了慢霧科技，慢霧科技表示：這個漏洞本身是存在的并且可信度非常高，而且是可以直接拿到EOS超級節點服務器的權限，360所描述的史詩級漏洞，這種表述不過分。360沒有披露漏洞細節是可以理解的，此次漏洞是在EOS網絡上發布的惡意智能合約，該智能合約可以同步到區塊鏈網絡上，每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透，打穿虛擬機到服務器，從而控制服務器。EOS 超級節點攻擊有幾個入口P2P 端口、RPC 端口、惡意智能合約、服務器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網絡進行的攻擊。[2018/5/29]

慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解，4月22日13時左右，BEC出現異常交易。慢霧安全團隊第一時間分析發現，BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞，攻擊者可傳入很大的value數值，使cnt*value后超過unit256的最大值使其溢出導致amount變為0。

通過此次分析，慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0，及在for循環內執行balances[msg.sender].sub(value)操作。

這類漏洞屬于不可逆的破壞型漏洞，慢霧安全團隊建議其他智能合約發布方及時自查。[2018/4/23]

Tags：ETHOSSChainCHALiquid Staked ETHHOTCROSSStorichainGreen Chart

AVAX