SCAN:丧心病狂再「炸桥」，跨链桥项目Meter.io损失420万美元_HTT

这是继昨日CertiK发布的Solana跨链桥虫洞项目被攻击事件分析后的又一起黑客袭击跨链桥项目事件。

漏洞利用交易

虚假存款:https://bscscan.com/tx/0x63f37aff7e40b85b0a6b3fd414389f6011cc09b276dc8e13b6afa19061f7ed8ehttps://etherscan.io/tx/0x2d3987963b77159cfe4f820532d729b0364c7f05511f23547765c75b110b629chttps://bscscan.com/tx/0xc7eb98e00d21ec2025fd97b8a84af141325531c0b54aacc37633514f2fd8ffdchttps://etherscan.io/tx/0xdfea6413c7eb3068093dcbbe65bcc9ba635e227c35e57fe482bb5923c89e31f7https://bscscan.com/tx/0x5d7cd17bfeb944390667c76f4fc2786f748dc3eb363c01c24b92becaaf5690b4铸币:https://bscscan.com/tx/0xf70b4aa715c0a04079c56cd9036cc63cdb6101e400520a8f2c019ad2ced5358ehttps://moonriver.moonscan.io/tx/0x689ff22ebf7f7aa6ecf0d60345979855442a09dfb7439c8553b2369e6e130409https://etherscan.io/tx/0xd619ace8a8cca2f7eb72dbc0a896fc2d4d8b20aa11f4d747f1a5333305bbb875https://moonriver.moonscan.io/tx/0xc7f764644e9af42714d98763b7e8dcf5e1de6b855b63e2c6ff2438e09b61ccc7黑客

YGG发布首年回顾报告：打金成员已获得超1000万美元收入:7月30日消息，P2E游戏公会Yield Guild Games（YGG）在其官方博客发布第一年回顾报告，其中披露打金成员已获得超过1000美元收入，YGG专注于为打金成员提供价值，已将YGG及其区域subDAO合作伙伴生态系统定位为该领域的明确领导者，截至2022年5月全球已有近3万名成员从中受益。YGG表示，未来12个月将是探索、测试、学习和建设的时期，并将继续与合作伙伴和社区站在一起。[2022/7/30 2:47:51]

黑客链上转账记录：https://debank.com/profile/0x8d3d13cac607b7297ff61a5e1e71072758af4d01/history转账地址：0x8d3d13cac607b7297ff61a5e1e71072758af4d01合约地址

波卡回顾上个月客户端事故 系内存不足导致:6月7日消息，Polkadot官方发文回顾，5月24日要求波卡验证节点将客户端降级至0.8.30版本事故，系内存不足导致。Polkadot表示，在试图构建区块5202216时因内存不足（OOM）错误而失败。该区块包含验证人选举的链上解决方案，该解决方案通常是在链下计算的，只有在没有提交链下解决方案的情况下才会在链上进行。由于提名者的数量众多，选举溢出了Wasm环境中分配的内存。为解决这个问题，当时验证者被要求暂时将他们的节点软件降级到至0.8.30版本并且使用「--execution=native」命令。该本地版本不受Wasm内存分配器的限制，网络在70分钟停机后恢复。之后在5203204区块，几个节点因「存储根不匹配」错误而失败，这是由于构建本地运行时和链上Wasm运行时的编译器版本不同造成的。解决方案是用一个具有正确编译器版本的Wasm运行时来覆盖链上Wasm运行时。Polkadotv0.9.3版本上线后修复了该类问题，Polkadot表示未来可能会支持4GB的Wasm分配内存。现在选举必须在链下进行，并且禁用链上选举。在分配器被改进之前，链下工作者将使用比链上Wasm运行时更高的内存限制确保链下选举不会耗尽内存并能成功提交。另外，Polkadot将确保本地和Wasm构建中使用相同的编译器版本。[2021/6/7 23:18:48]

夜间回顾 | 欧亚经济联盟编制加密货币报告以促进监管:1.Ripple向Bitstamp和不知名钱包转移价值2.5亿美元XRP

2.已有23家交易所、金融机构等使用Liquid Network

3.李启威：将添加机密交易使莱特币更具可替代性

4.Lux Vending已在芝加哥部署30台加密货币ATM

5.Ripple集体诉讼案定于2月13日进行口头辩论

6.英伟达下调2019财年Q4收入预估，因挖矿收入下降等

7.立高控股拟建立合营企业发展区块链等技术

8.格鲁吉亚人正出售旧车以挖掘比特币

9.奥地利首都为公民开发奖励代币

10.欧亚经济联盟编制加密货币报告以促进监管

11.两个可能仍活跃的黑客组织共窃取了10亿美元加密货币

12.委内瑞拉比特币交易量创历史新高[2019/1/29]

Bridge以太坊：https://etherscan.io/address/0xa2a22b46b8df38cd7c55e6bf32ea5a32637cf2b1币安智能链：https://bscscan.com/address/0xfd55ebc7bbde603a048648c6eab8775c997c1001Moonriver(moonbream)：https://moonriver.moonscan.io/address/0xf41e7fc4ec990298d36f667b93951c9dba65224eERC20HandlerEthereum：https://etherscan.io/address/0xde4fc7c3c5e7be3f16506fcc790a8d93f8ca0b40BSC：https://bscscan.com/address/0x5945241bbb68b4454bb67bd2b069e74c09ac3d51攻击流程

精选 | 九月区块链趣闻事件回顾:1.纽约一男子因抢劫180万美元加密货币被判刑10年。

2.“比特币暴跌”上新浪微博热搜榜。

3.北京互联网法院受理第一案将使用区块链取证。

4.区块链新闻论文获第28届中国新闻奖二等奖。

5.韩国海关总署将采用三星Nexledger区块链平台开发去中心化清关系统。

6.德克萨斯州一男子被判数字货币罪而入狱。[2018/9/30]

步骤一：攻击者调用`Bridge.deposit()`函数，将0.008BNB存入连接到多个链的合约Bridge，包括币安智能链、以太坊以及Moonriver。

在函数调用`Bridge.deposit()中，攻击者注入了以下恶意数据：

赵长鹏发文回顾币安系统维护事件:赵长鹏发布长文回顾了前两日币安维护过程中的细节：2月8日上午在进行数据库迁移时，由于硬件故障导致数据被破坏，而在重新同步时面对了巨大的数据量导致同步变慢；团队连续工作34个小时；官网同时受到严重的DDoS攻击。此前币安从2月8日8时许开始维护，直至2月9日18时才重新开放交易。[2018/2/11]

步骤二：`Bridge.deposit()`调用了`ERC20Handler.deposit()`函数，输入内容如下：

步骤三：由于输入的resourceID是"0x000000000000bb4cdb9cbd36b01bd1cbaebf2de08d9173bc095c01”，token地址将为`0xbb4cdb9cbd36b01bd1cbaebf2de08d9173bc095c`，这与`_wtokenAddress`相同。

步骤四：这种情况下，一旦该指令通过，将导致攻击者实际上不需要向合约转移任何代币即可获得。步骤五：因此，攻击者可以在其他链上铸造"数据"中指定的任何相同数量的代币。合约漏洞分析

一般来说deposit()用于ERC20代币的存款，depositETH()用于WETH/WBNB代币的存款。Bridge合约提供了两个方法：deposit()和depositETH()。然而，这两个方法造成了相同事件，并且deposit()函数并没有阻止WETH/WBNB的存款交易，因为deposit()没有烧毁或锁定WETH/WBNB。黑客通过使用deposit()来制作假的存款事件，在没有任何真实存款的情况下，将WETH/WBNB存入。

资产追踪

黑客地址：https://debank.com/profile/0x8d3d13cac607b7297ff61a5e1e71072758af4d01/history几乎所有的资产都已转移到Tornado。

总结

这一事件与前不久发生的Qubit事件非常相似。一个黑客事件的发生往往会使更多别有用心之人关注类似项目中是否有类似的漏洞可以利用。因此，项目方的技术团队应及时关注已发生的安全事件，并且检查自己的项目中是否存在类似问题。目前，CertiK官网已添加社群预警功能。在官网上，大家可以随时看到与漏洞、黑客袭击以及rugpull相关的各种社群预警信息。

作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。迄今为止，CertiK已获得了2500家企业客户的认可，保护了超过3110亿美元的数字资免受损失。

标签：HTTTPSSCANCANHTT币tps币圈coinscan币知乎tokencan怎么读

ADA热门资讯