【安全公司:UTXO多签机制可被用于发起对Blockbook的假充值攻击,请注意排查风险】

【安全公司:UTXO多签机制可被用于发起对Blockbook的假充值攻击,请注意排查风险】据官方消息,继昨日慢雾安全团队披露的UTXO多签机制可被用于发起对交易所的假充值攻击之后,慢雾区安全伙伴安全鹭(Safeheron)反馈了新的威胁情报,知名开源中间件Blockbook(Trezor开源产品)也受此特性影响,安全鹭发现Blockbook获取交易数据接口返回结果中对MultiSig类型交易展示不完善,如果output为MultiSig脚本,Blockbook将会选择脚本中最后一个地址展示,和普通地址交易无法区分。如果交易所、钱包客户端或者其它中心化服务仅根据Blockbook返回结果进行入账判断,将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL,慢雾安全团队建议相关运营方注意排查风险。

相关推荐

封面图片

慢雾:UTXO多签机制可被用于发起对Blockbook的假充值攻击,请注意排查风险
封面图片

【安全团队:谨防多重签名假充值】

【安全团队:谨防多重签名假充值】据慢雾区情报,近期有黑客团伙利用m-of-n多重签名机制对交易所进行假充值攻击。慢雾安全团队分析发现,攻击者通常使用2-of-3多签地址,其中1个地址为攻击者在交易所的充值地址(假设为A),2个地址为攻击者控制私钥的地址(假设为B、C),然后发起一笔以这3个地址构成的多签做为交易输出(vout)的交易,此时攻击者在交易所的充值地址A虽然收到资金,但是由于花费这笔资金至少需要2个地址的签名,攻击者可利用自己控制的B、C地址将充值资金转出。慢雾安全团队建议交易所,及时对BTC/LTC/DOGE等基于UTXO账号模型的代币充值流程进行审查,确保已对交易类型进行正确的判别,谨防多重签名假充值。
封面图片

【慢雾:LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为】

【慢雾:LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为】2023年09月10日04点50分老不正经报道,据慢雾安全团队链上情报,LDO的token合约在处理转账操作时,如果转账数量超过用户实际持有的数量,该操作并不会触发交易的回滚。相反,它会直接返回一个`false`作为处理结果。这种处理方式与许多常见的ERC20标准token合约不同。由于上述特性,存在一种潜在的“假充值”风险。恶意攻击者可能会尝试利用这一特性进行欺诈行为。慢雾建议如下:1.在处理token到账的逻辑时,不仅仅依赖于交易的成功或失败,还需要根据token合约的实际返回值进行判断。2.请注意,市场上存在许多非ERC20标准的token合约。在接入新的token之前,务必对其合约代码进行深入的理解和分析,确保实现正确的入账逻辑。3.建议定期进行代码审计和安全检查,确保系统的健壮性和安全性。Token合约的实现和行为可能因项目而异。为了确保资金的安全和交易的准确性,强烈建议在接入任何新的token之前,深入理解其合约逻辑并进行充分的测试。
封面图片

【GALA代币因合约变更或存在“假充值”风险,漏洞已被黑客利用】

【GALA代币因合约变更或存在“假充值”风险,漏洞已被黑客利用】2023年09月13日01点27分9月13日消息,据X-explore监测,由于合约变更,GalaGame代币GALA在CEX上存在“假充值”风险,黑客于9月6日利用该漏洞,已将Coinhub中价值2.7枚ETH的GALA全部取出。X-explore表示,GALA于2023年5月15日进行重大升级,并更新代币合约地址。因此现在有两种代币在流通,都被称为GALA,GALA旧代币和正常的GALA价格比是1:12。攻击者自今年7月27日起一直使用GALA旧代币在各交易所充值,以测试假充值。与此同时,黑客还参与LDO“假充值”事件以及去年8月的NomadBridge攻击事件。9月6日,黑客充值GALA旧代币至CoinHub,成功让交易所将充值的旧GALA视为真正的Gala代币。随后黑客用户提取真实的Gala,现在交易所热钱包中只剩下价值168美元的Gala,黑客赚取2.7枚ETH。此前消息,据慢雾安全团队链上情报,LDO的Token合约存在潜在的“假充值”风险,恶意攻击者可能会尝试利用这一特性进行欺诈行为。对此,LidoFinance表示,尽管黑客据称利用了LDO代币合约中已知的安全漏洞,但LDO和stETH代币仍然是安全的。Lido没有证实任何漏洞,但承认安全漏洞是已知的。
封面图片

【安全公司:NFT钓鱼诈骗已有成熟产业链存在,请注意风险】

【安全公司:NFT钓鱼诈骗已有成熟产业链存在,请注意风险】4月10日消息,最近NFT钓鱼诈骗事件层出不穷,已有不少知名大V与艺人都遭受损失。慢雾安全团队分析发现,钓鱼诈骗已有成熟产业链存在:-媒体宣传方面,通过购买认证推特账号或邮件钓鱼经过认证的推特用户(包括行业大V,记者和媒体专业人士)的账号,修改资料发布空投诈骗;-技术方面,在telegram等市场,有成熟的钓鱼诈骗技术服务团队,攻击者可以用很便宜的价格购买全套的钓鱼诈骗所需技术服务。然后攻击者媒体宣传配合成熟的前后端诈骗技术,完成全套钓鱼产业链,对NFT持有者进行攻击。用户的钱包一旦连接到该网站,被诱骗授权(approve)或直接转账,他们钱包中的有关资产(如NFT)将被盗,请大家保持警惕,谨防被盗。
封面图片

余弦:Safe 多签钱包需改善交互安全设计,以解决首尾号相同地址钓鱼攻击问题

余弦:Safe多签钱包需改善交互安全设计,以解决首尾号相同地址钓鱼攻击问题慢雾创始人余弦在社交媒体上发文称,首尾号相同钱包地址钓鱼攻击,Safe多签钱包用户的损失还挺大。这不是Safe多签合约的风险,而是Safe多签钱包UI的问题,用户交互安全设计需要尽快跟上了。Web3反诈骗平台ScamSniffer在X平台发文表示,过去一周,约有10个Safe钱包因首尾号相同钱包地址钓鱼攻击而损失205万美元。过去四个月内,同一攻击者已从约21名受害者那里窃取了500万美元。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人