Equipo de seguridad: el programa de nodos BNB Chain evita el flujo de fondos robados y posibles ataques a través de listas negras y otros métodos

[Equipo de seguridad: el programa de nodos BNB Chain evita el flujo de fondos robados y posibles ataques a través de listas negras y otros métodos] Jinse Finance informó que el monitoreo de Beosin muestra que el programa de nodos BNB Chain actual evita el flujo de fondos robados y posibles ataques.

Otras noticias:

Equipo de seguridad: se produjo un tirón de alfombra en el proyecto GEMDAO, lo que le quitó 322BNB: Jinse Finance informó que, según las noticias del equipo de seguridad de Chengdu Lianan, se produjo un tirón de alfombra en GEMDAO, y el propietario del contrato llamó a la función de transferencia () con una puerta trasera para aumentar su saldo GEMDAO de la nada, y luego usó El GEMDAO agregado intercambiará el WBNB en la piscina. Cuando el destinatario de la función de transferencia () es el propietario, aumentará directamente su propio saldo. La parte del proyecto se llevó un total de 322BNB (alrededor de 105.553,49 dólares estadounidenses), y el equipo de seguridad de Chengdu Lianan está monitoreando los fondos robados en tiempo real. [2022/8/14 12:24:09]

Equipo de seguridad: los registros DNS de Curve Finance fueron pirateados: Golden Finance News, alrededor de las 4:20 a. m. del 10 de agosto de 2022, hora de Beijing, los registros DNS de Curve Finance (curve.fi) fueron pirateados y apuntaron a un sitio web malicioso. El atacante inyectó un código malicioso que requería que los usuarios aprobaran transacciones de tokens para un contrato no verificado. Si el usuario aprueba la transacción, el atacante transferirá los tokens del usuario con un contrato malicioso.

Cuando un usuario interactúa con cualquier botón en Curve (curve.fi), el sitio web le pedirá al usuario que apruebe la transacción del token a un contrato no verificado \"0x9eb5f8e83359bb5013f3d8eee60bdce5654e8881\".

Al cierre de esta edición, se han perdido aproximadamente $770,000 de esta manera. Los atacantes movieron fondos de su billetera a varias otras billeteras, intercambiaron algunos de ellos por tokens y enviaron algo de ETH a Tornado Cash.

El equipo de seguridad de CertiK desea recordar a los usuarios que no confirmen la transacción y abandonen el sitio web. [2022/8/10 12:14:12]

Atacantes de Poly Network: Es raro ver a equipos de seguridad profesionales reportar vulnerabilidades clave de contratos que ya han sido lanzados: Los atacantes de Poly Network vuelven a dejar información en la cadena, los contenidos principales son los siguientes:

1. El FBI no intentó contactarme. Me alegro de que ellos y otros equipos de seguridad puedan beneficiarse de este "juego". Incluso el ataque en sí fue "un placer" para los investigadores.

2. Para mí, es interesante ver la respuesta de emergencia de los mejores equipos de seguridad (solo en la industria de la cadena de bloques, por supuesto).

NOTA: Los siguientes plazos pueden estar equivocados:

3. Al principio, la mayoría de los expertos hablaban de un solo Guardián de una conspiración interna. Por lo que he visto, @kelvinfichter fue el primero en señalar el error más crítico pero más obvio en el contrato ETH. El equipo de SlowMist anunció buenas noticias sobre el camino de la financiación. ¿Pero no creen que es demasiado obvio? De todos modos, calmaron a la comunidad. Este es un efecto secundario no deseado, pero muy importante. Más tarde, parecían estar ocupados con las consultas de los medios y la comunidad. Me alegra que me estén ayudando con la parte de tutoría o educación. ¡Es como si el Caballero de la Noche encontrara a su Harvey Dent (el villano de DC Two-Face)! Gracias equipo de SlowMist. Otros equipos de seguridad parecían estar menos activos que SlowMist, pero contribuyeron a explicar más detalles sobre el ataque. Creo que Certik fue el primer equipo en publicar sobre llamadas de ontología faltantes. Piedun también mencionó acuerdos de lanzamiento y signatarios especiales. ¡Fuerte!

4. La seguridad es un trabajo duro, tanto en el mundo tradicional como en el mundo cifrado. En la mayoría de los casos, los expertos en seguridad solo son llamados después como forenses, escriben "informes post-mortem" y, a veces, rastrean a los perpetradores. También hay algunos proyectos que no están muy ansiosos por recuperar su dinero porque no es su dinero, y le dirán a la verdadera víctima: "Lo sentimos, lo intentamos, pero no podemos garantizar una seguridad extrema".

Otro hecho interesante es que es raro ver a un equipo de seguridad profesional informar sobre vulnerabilidades críticas de contratos en vivo. Por supuesto, siempre pueden decirle la causa de la muerte "después de la muerte" de estos artículos. ¿Por qué no ve casos en los que los equipos de seguridad encuentran vulnerabilidades multimillonarias o incluso multimillonarias? ¿Por no pagar? Creo que la mayoría de los equipos de seguridad son más ricos que yo, y algunos pueden ser más capaces que yo, ¿creerías que nunca se han enfrentado a tentaciones similares? ¿O algunos de ellos sucumbieron al mal? Esto recuerda a la película "Network Mystery". Esta es solo mi teoría de la conspiración, por eso no confío en nadie, pero tú siempre puedes confiar en mí. [2021/8/14 1:54:59]