BTC/HKD+2.3%
ETH/HKD+2.77%
LTC/HKD+1.52%
DOT/HKD+7.33%
ADA/HKD+13%
SOL/HKD+3.86%
XRP/HKD+25.91%
DOGE/US+2.98%2022年9月18日,以太坊合并完成后,PoW鏈遭到PoS鏈上交易的重放攻擊,根本原因是網橋未正確讀取并驗證區塊鏈的chainid。攻擊者首先通過Gnosis鏈的Omni跨鏈橋轉移了200 WETH,然后在PoW鏈上重放了相同的消息,獲得了額外的200 ETHW。
SharkTeam對此事件進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。
該事件涉及兩個不同鏈的交易hash以及攻擊者地址,分別如下:
聲音 | 延邊州金融辦:警惕以投資“虛擬貨幣”“區塊鏈”等為幌子的投資理財騙局:延邊州金融辦發布風險提示,提醒群眾務必警惕部分投資”、“理財”項目。其中包括以投資“虛擬貨幣”“區塊鏈”等為幌子的。[2019/7/25]
(1)PoS鏈交易hash:0xbddb0cc8bc9949321e1748f03503ed1a20dd618fbf0a51dc5734c975b1f8bdf5
(2)PoW鏈交易hash:0x9c072551861ce384203516f4d705176a2d2e262d5b571d853467425f1a861fb4
天津市機關:警惕以“虛擬貨幣”“區塊鏈”為幌子的非法集資活動:天津日報6月8日報道,天津市處非辦與機關提醒廣大群眾,務必警惕以投資“虛擬貨幣”“區塊鏈”為幌子的“投資”“理財”項目。天下不會掉餡餅,高收益必然伴隨高風險。非法集資不受法律保護,參與非法集資風險自擔。[2018/6/8]
(3)攻擊者地址:0x82FaEd2dA812D2E5CCed3C12b3baeB1a522DC677
首先,我們對比發現兩筆交易訪問的合約相同,并且inputdata完全相同,即調用了同一個合約的同一個函數并且參數相同,根據相同的方法簽名ID 0x23caab49可知,黑客調用safeExecuteSignaturesWithAutoGasLimit函數。
黑龍江巴彥縣:警惕以投資“虛擬貨幣”、“區塊鏈”等為幌子的非法集資活動:黑龍江省巴彥縣法院網6月4日報道,黑龍江巴彥縣部提醒公眾特別警惕以投資“虛擬貨幣”、“區塊鏈”等為幌子的“投資理財”項目。[2018/6/4]
因此,攻擊者通過Omni Bridge 轉移200WETH,然后在PoW鏈上重放了相同的Inputdata,獲得了額外的200 ETHW。
此時,我們對這里的重放操作抱有懷疑態度。因為,以太坊網絡在硬分叉之前強行執行EIP-155,這就說明ETH PoS鏈上交易不能在PoW鏈上重復交易。在正常的交易中,我們通過nonce來進行排序交易,避免重復交易。在跨鏈中,我們會根據chianid進行識別鏈的類型,比如以太坊主網的chainid是1,ETHW主網的chainid是10001。
工商總局 警惕以傳銷為手段的新型互聯網欺詐行為:國家工商總局網站消息,近期,以傳銷形式為手段的新型互聯網欺詐行為頻發。部分組織和個人以經營網絡虛擬貨幣、網絡游戲的名義,打著“虛擬貨幣”“數字貨幣”“電子幣”“互聯網代幣”或“網游、網賺”“玩游戲得大獎”“玩網游送紅包”等旗號,以高額“靜態收益”“動態收益”“推廣返利”為誘餌,利誘、欺騙廣大群眾繳納入會費用成為會員,并鼓動會員發展下線,騙取錢財,此類活動可能涉嫌以傳銷為手段和形式,本質上實施非法集資、擅自從事金融業務活動、詐騙等違法犯罪行為,參與者的權益存在巨大風險。[2017/12/11]
對此,我們分析了Omni Bridge相應的源碼。我們查看一下Omni Bridge驗證chainid的邏輯,發現chainid的來源于unitStorage中存儲的值,而不是通過操作碼 CHAINID(0x46)直接讀取的鏈上chainid。
unitStorage是合約EternalStorage中的狀態變量,sourceChainId()函數所在的合約BasicAMB繼承了BasicBridge和VersionableAMB。其中,BasicBridge陸續繼承了合約EternalStorage。這里保存的chainid是預先存儲好的,如果發生區塊鏈的硬分叉而chainid又沒有重新設置或者chainid人為設置有誤,從合約層面上來說,由于不是通過操作碼獲取的chainid,不會正確驗證跨鏈消息的實際chainid。這樣的漏洞,容易被攻擊者利用。
問題分析總結:主要是Omni使用的solidity版本是0.4.24,采用的是手動存儲和更新chainid的方式,并未通過EIP-1344中規定的CHAINID(0x46)操作碼進行實際chainid獲取。
引發本次安全事件的原因是在PoW升級PoS過程中,Omni Bridge對chainid未及時處理。導致過舊的solidity版本中,存在歷史遺留問題。建議在后續項目迭代中,及時應對新問題,采取必要的代碼優化措施。雖然Gnosis 鏈上Omni Bridge有每日最大轉移代幣數量限制250個WETH,但是依舊要保持警惕,以防止積少成多,造成更大的損失。
財經法學
成都鏈安
金色早8點
Bress
鏈捕手
PANews
Odaily星球日報
原文標題:《The Next Big Crypto Narrative》 原文作者:Matti 原文翻譯:Jack(0x137),BlockBeats當大多數人還在試圖適應熊市時.
1900/1/1 0:00:00在加密市場中獲取高額收益的方法有很多,其中在項目Token發行前,布局未來空投就是重要的手段之一.
1900/1/1 0:00:00世界領先的藝術品和奢侈品拍賣行佳士得推出了基于以太坊的NFT平臺佳士得3.0。該平臺致力于銷售杰出的NFT藝術作品,并且能在以太坊網絡記錄完整的鏈上交易.
1900/1/1 0:00:00FBI也在關注DeFi犯罪了。2022年8月29日,FBI互聯網犯罪投訴中心(Internet Crime Complaint Center,IC3)在其官網發布DeFi投資提醒,IC3表示,F.
1900/1/1 0:00:00概述 本文由 Andreessen Horowitz 的 Miles Jennings 撰寫,他是 a16z crypto 的總法律顧問.
1900/1/1 0:00:00從融資金額評估,這個夏季出現了這些明星項目。撰文:Vlad Ilnitskiy編譯:深潮 TechFlow夏季即將結束,在這段時間里,我們統計了從風險投資公司獲得資金的加密貨幣和 Web3 項目.
1900/1/1 0:00:00
比特幣價格
