Equipo de seguridad: el método de verificación de transacciones entre cadenas de BSC Token Hub tiene lagunas

[Equipo de seguridad: el método de verificación de transacciones de cadena cruzada de BSC Token Hub tiene lagunas] Según las noticias del 7 de octubre, según el monitoreo de la plataforma Beosin EagleEye, BSC Token Hub fue atacado por piratas informáticos el 7 de octubre. El equipo de seguridad de Beosin ahora analizará el método de la siguiente manera: al verificar transacciones entre cadenas, BSC Token Hub utiliza un contrato precompilado especial para verificar el árbol IAVL. Sin embargo, hay una laguna en esta implementación, que puede permitir que un atacante falsifique mensajes arbitrarios.

1) El atacante primero selecciona el valor hash de un bloque enviado con éxito (bloque especificado: 110217401)

2) Luego construya una carga útil de ataque como un nodo de hoja en el árbol IAVL verificado

3) Agregar un nuevo nodo hoja arbitrario al árbol IAVL

4) Al mismo tiempo, agregue un nodo interno en blanco para satisfacer la prueba de realización

5) Ajuste el nodo de hoja agregado en el paso 3 para que el hash de raíz calculado sea igual al hash de raíz correcto seleccionado en el paso 1 para un envío exitoso

6) Finalmente construya la prueba de retiro de este bloque específico (110217401)

Beosin Trace rastrea en tiempo real los fondos robados.

Otras noticias:

Equipo de seguridad: los fondos de Team Finance se dañaron o se debieron a una implementación deficiente del contrato: Jinse Finance informó que, según el monitoreo de Okey Cloud Chain, además de las lagunas del contrato en el ataque en el incidente de seguridad de Team Finance, la implementación de la migración contrato de Uniswap V3 no fue riguroso o causado es una de las principales causas de pérdida.

Como se informó anteriormente, Team Finance afirmó que se robaron $ 14.5 millones en Token y que el protocolo se suspendió temporalmente. [2022/10/28 11:53:10]

Equipo de seguridad: un total de 143,57 millones de dólares estadounidenses de fondos robados de BSC Token Hub se transfirieron a través de cadenas cruzadas: según las noticias del 7 de octubre, según el monitoreo de la plataforma Beosin EagleEye, BSC Token Hub fue pirateado el 7 de octubre y Beosin El equipo de seguridad pasó los rastros de Beosin Trace y analizó los fondos robados, y obtuvo el último progreso del flujo de fondos como se muestra en la figura.

Además, según las estadísticas del equipo de seguridad de Beosin, se transfirieron un total de 143,57 millones de dólares estadounidenses de fondos robados (incluidos préstamos) a través de cadenas cruzadas. De los fondos robados a través de transferencias entre cadenas, alrededor de $7739W de fondos se transfirieron a Ethereum a través de varias cadenas cruzadas, $5896W de fondos permanecieron en la cadena FTM (incluidos varios gUSDT) y $400W de fondos estaban en la cadena Arbitrum Entre ellos, $ 172 W de financiamiento están en la cadena Avalanche, $ 40 W de financiamiento están en Polygon y $ 110 W están en Optimism. [2022/10/7 18:41:46]

Equipo de seguridad: Discord de HacktivistNFT se colocó en un enlace de menta falso: noticias del 11 de mayo, el sistema de alarma BlockSec descubrió a las 11:40 am del 11 de mayo que el anuncio oficial de discordia del proyecto HacktivistNFT estaba difundiendo enlaces de menta falsos, preste atención a inversionistas, no hagan clic en el enlace de menta falsa. [2022/5/11 3:06:19]