12月25日消息,据推特用户@0xLorenz表示,平安夜,Terra链上合成资产协议Mirror遭受了严重的治理攻击,攻击者发起185号提案,企图从协议中盗取价值3800万美元的MIR代币。 该提案伪装成与SOLANA深度合作的治理请求,企图骗取社区的同意票;此外,攻击者还发起十几个类似185号的虚假治理提案,企图降低185号提案的关注度以蒙混过关。 该攻击是有组织、有预谋、缜密策划的治理攻击,攻击者操纵价值上百万美金的MIR代币进行投票欺诈。为掩人耳目,攻击者特意选择社区活跃度较低的圣诞新年假期发动攻击。 为帮助Mirror抵御治理攻击,呼吁MIR持有者在12月30日投票截止日期前投票否决185号提案以及187、188、189、191、192、198、204、206、207、208号提案,阻止攻击者盗取3800万美元的MIR代币。
据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞: 1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。
10月30日消息,据慢雾区情报,2021年10月30日,币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击,被盗约1.3亿美金。经慢雾安全团队分析,黑客于27日13时(UTC)部署了攻击合约0x8877,接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。
DeFi借贷协议CreamFinance再次遭受攻击,损失达1.15亿美元。被盗的资金主要是CreamLP代币和其他ERC-20代币。PeckShield发现了一笔用于实施这一攻击行为的大额闪电贷。根据区块链记录,9200万美元被盗到一个地址,2300万美元被盗到另一个地址,尽管这些资金现在被转移到不同的钱包中。根据Rekt的排行榜,这是有史以来第三大DeFi黑客攻击(尽管两个更大的黑客攻击事件都有资金返还)。(TheBlock)
9月19日消息,Tamil Nadu公共部门的计算机系统遭受勒索软件攻击,恶意软件采用加密技术以勒索赎金来保存受害者的信息,据称攻击者寻求以加密货币支付赎金以释放恶意软件。信息技术部长Neeraj Mittal证实了勒索软件攻击,但表示并不严重。"我们已经隔离了受到攻击的受影响系统,并正在评估情况。我们正在努力取回访问权限,"他说。他拒绝评论近2,000美元加密货币作为释放恶意软件的赎金的需求。据悉,高级计算发展中心和计算机应急小组的官员正在努力恢复这些系统。
对于跨链互操作协议Poly Network遭受攻击事件,慢雾安全团队分析指出:本次攻击主要在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了EthCrossChainData合约的keeper为攻击者指定的地址,并非网传的是由于keeper私钥泄漏导致这一事件的发生。
在昨天的一次攻击未遂之后,从美国东部时间周二上午11:45(北京时间8月3日23:45)左右开始,BSV遭受了"大规模"的51%攻击,导致该链的三个版本同时被挖掘。Coin Metrics随后证实,其FARUM风险管理平台已识别出51%攻击。Coin Metrics网络数据产品经理Lucas Nuzzi表示:"有人正试图摧毁BSV。在超过3个小时的时间里,攻击者已能够接管该链。在此期间收到BSV存款的所有交易所可能都被双花了。"目前尚不清楚攻击是否已经结束,或者攻击者是否只是在休息。Coin Metrics的更新证实,其FARUM节点见证了"最大深度为14个区块的深度重组"。尽管没有观察到进一步的重组事件,但主要矿池之间仍然存在"同步冲突"。(Cointelegraph)
北京时间7月11日23时40分,AnySwap发布推特消息称,在其新的 Anyswap V3 原型中检测到一个漏洞,V1/V2 中使用的所有过渡资金均安全,目前已经针对所有被利用的资金采取了补救措施,V3 的 LP 不会有任何损失。后续将发布完整的事件报告。
据官方消息,跨链交易协议AnySwap表示,其新的多链原型V3路由器早在7月10日已遭到攻击,Anyswap桥接无虞,只是新的V3跨链流动性池受到了影响。据了解,BSC上的V3 Router MPC账户下检测到两笔v3路由器交易,这两笔交易具有相同的R值签名,黑客反向推导出了MPC账户的私钥。所有的V1/V2桥接交易都被审计过,它们没有相同的R交易,V1/V2中使用的所有过渡资金均安全。团队已经修复了代码,以避免使用相同的R签名。AnySwap多链路由器V3将在48小时内重新启动。Trail of Bits一直在审核V1/V2, 并将助力解决v3事件。此次攻击事件的最终损失资金为2,398,496.02 USDC和5,509,222.73 MIM。团队将针对所有被盗资金采取补救措施以提供全额补偿,V3的LP不会有任何损失。
据官方消息,近日BSV网络遭受恶意攻击,造成多个区块重组。攻击者借此进行了双花攻击。 若有BSV充提业务,慢雾安全团队建议先暂停BSV充提业务,并排查7月1日起至今是否有异常充值、异常账号注册(如来自俄罗斯的)。且PoW算力近期变化较大,需注意其他
