据TransitSwap官方通告,BSC链新增4个获利地址,ETH链新增1个获利地址,新增被盗资金357万美元,共计获利地址8个,被盗损失总计扩大至2884万美元。慢雾MistTrack与TransitSwap团队协作分析后得出结论,新增5个获利地址中有3个是套利机器人,而另外2个则是攻击模仿者。此前,慢雾通过情报发现套利机器人地址0xcfb0...7ac7。慢雾MistTrack仍在持续跟进此次事件,对新增获利地址的资金转移与黑客画像进行分析。
慢雾:NEXT空投领取资格检查通过默克尔证明进行,没有资格领取空投的用户无法绕过检查领取他人空投:金色财经报道,据慢雾区情报,有部分账户的NEXT代币被claim到非预期的地址,慢雾安全团队跟进分析后分享简析如下:
用户可以通过NEXTDistributor合约的claimBySignature函数领取NEXT代币。其中存在recipient与beneficiary角色,recipient角色用于接收claim的NEXT代币,beneficiary角色是有资格领取NEXT代币的地址,其在Connext协议公布空投资格时就已经确定。
在用户进行NEXT代币claim时,合约会进行两次检查:一是检查beneficiary角色的签名,二是检查beneficiary角色是否有资格领取空投。在进行第一次检查时其会检查用户传入的recipient是否是由beneficiary角色进行签名,因此随意传入recipient地址在未经过beneficiary签名的情况下是无法通过检查的。如果指定一个beneficiary地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。
空投领取资格检查是通过默克尔证明进行检查的,其证明应由Connext协议官方生成,因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。[2023/9/5 13:19:43]
截止到目前,在各方的共同努力下,攻击黑客已将超8成的被盗资产退还到TransitSwap项目方地址,建议套利机器人所属人和攻击模仿者同样通过service@transit.finance或链上地址与TransitSwap取得联系,共同将此次被盗事件的受害用户损失降低到最小。
慢雾:上周Web3安全事件中总损失约1996.3万美元:金色财经报道,据慢雾区块链被黑档案库统计,2023年8月14日至8月20日,共发生安全事件10起,总损失约1996.3万美元。具体事件:
8月14日,Hexagate发推表示,过去几天单个MEV Bot被利用了约20万美元。以太坊上Zunami Protocol协议遭遇价格操纵攻击,损失1,179个ETH(约220万美元)。
8月15日,以太坊扩容解决方案Metis官方推特账号被盗。Sei Network官方Discord服务器遭入侵。Base生态项目RocketSwap遭遇攻击,攻击者窃取了RCKT代币,将其转换为价值约86.8万美元的ETH并跨链到以太坊。
8月16日,借贷协议SwirlLend团队从Base盗取了约290万美元的加密货币,从Linea盗取了价值170万美元的加密货币。BAYC推出的链上许可申请平台Made by Apes的SaaSy Labs APl存在一个问题,允许访问MBA申请的个人详细信息。
8月18日,DeFi借贷协议Exactly Protocol遭受攻击,损失超7,160枚ETH(约1204万美元)。
8月19日,Cosmos生态跨链稳定币协议Harbor Protocol被利用,损失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600万亿枚WMATIC。
8月20日,衍生品市场Thales发布公告称,一名核心贡献者的个人电脑/Metamask遭到黑客攻击,一些充当临时部署者(2.5万美元)或管理员机器人(1万美元)的热钱包已被攻破。[2023/8/21 18:13:42]
攻击黑客获利地址:
慢雾:Let's Encrypt软件Bug导致3月4日吊销 300 万个证书:Let's Encrypt由于在后端代码中出现了一个错误,Let's Encrypt项目将在撤销超过300万个TLS证书。详情是该错误影响了Boulder,Let's Encrypt项目使用该服务器软件在发行TLS证书之前验证用户及其域。慢雾安全团队提醒:数字货币行业有不少站点或内部系统为安全目的而使用 Let's Encrypt 自签证书,请及时确认是否受到影响。如有影响请及时更新证书,以免造成不可预知的风险。用户可查看原文链接在线验证证书是否受到影响。[2020/3/4]
0x75F2...FFD46获利金额:约2410万美元
0xfa71...90fb
套利机器人获利地址:
1:0xcfb0...7ac7(BSC)获利金额:1,166,882.07BUSD
2:0x0000...4922(BSC)获利金额:246,757.31USDT
3:0xcc3d...ae7d(BSC)获利金额:584,801.17USDC
4.0x6C6B...364e(ETH)获利金额:5,974.52UNI、1,667.36MANA
攻击模仿者获利地址:
1:0x87be...3c4c(BSC)获利金额:356,690.71USDT
2:0x6e60...c5ea(BSC)获利金额:2,348,967.9USDT
标签:CELCelsiusANSNSIEnceladus Networkcelsius币官网OctansSensitrust
据官方公告,Coinbase将于8月29日在其衍生品交易所上线其第二个加密衍生产品NanoETHFutures(ET),这也是其平台首个以太坊衍生品.
据新浪新闻报道,中国移动通信联合会元宇宙产业委员会、中国通信工业协会区块链专业委员会、中关村大数据产业联盟元宇宙智库委员会于9月4日发布《关于再次规范数字藏品健康发展的自律要求》.
据CoinDesk报道,美国破产法官MartinGlenn周五在法庭听证会上裁定,加密借贷平台CelsiusNetwork破产案的独立审查员ShobaPillay将需要提供一份中期报告.
据CoinDesk报道,加密借贷平台Celsius在法律策略上再次产生分歧,因为Celsius的破产变得越来越混乱和棘手,部分索赔人计划在破产听证会上成立一个特设小组.
据官方新闻稿,风投机构Madrona宣布通过两支超额认购新基金,完成规模为6.9亿美元募资。其中,基金MadronaFund9筹集了4.3亿美元,将专注于支持太平洋西北地区的种子期前、种子期和A.
据Messari发布的《2022年第三季度Avalanche状态》报告,今年第三季度,Avalanche网络价值仅增长3.3%,总收入下降94.1%.
区块见闻