区块见闻 区块见闻
Ctrl+D收藏区块见闻

COI:黑客代码导致 3 亿增发——RVN 漏洞事件全回顾_rvn币官网

作者:

时间:

6月29日,SolusExplorer开发团队CryptoScope的一个程序员在回归测试时,发现浏览器统计的RVN余额出了问题,在深入排查问题后,他确认主网出现了很多异常的RVN增发操作,随后快速联系Ravencoin官方团队成员反馈了这个bug。

在与RVN开发团队沟通后,CryptoScope决定暂时关闭SolusExplorer的部分入口,以降低其他攻击者利用漏洞的可能性,为官方团队解决问题赢得了一定时间。

7月3日,RVN团队向社区发布了紧急更新,并最终于7月4日在1,304,352区块上对Ravencoin网络进行了程序修复。

7月8日,RVN官方解释称,本次漏洞是由于黑客提交的恶意PR引入的bug导致。

AI Meta Club的EntryPass NFT Mint销毁代币AMC超200万:据官方消息,AI Meta Club通过AMC EntryPass(AMCEP)销毁AMC代币来铸造新的AMCEP,从而扩展整个生态人口,现在已销毁代币AMC超200万。

团队将不断优化产品,努力推动AMC俱乐部的发展,并坚持以DAO的精神治理,为AI和Metaverse的全球探索者们提供一个有价值的平台。[2023/8/16 21:26:58]

此次漏洞共导致RVN增发3.01亿枚,相当于原有210亿总供应量的1.44%,已有供应量的4.6%。

根据追踪,大量增发的RVN被拆开发往不同的地址,并最终转到了交易所,官方定位到了以下3个地址:

Opera在即将推出的新版本Opera One中启用AI服务:4月25日消息,Opera在即将推出的新版本Opera One中启用AI服务,例如包括AI Prompts,以及在侧边栏中访问ChatGPT和ChatSonic。且在Opera One更新页面上,列出了几个示例,说明如何在浏览时使用生成式AI,其中包括对“复杂想法”的解释和内容创建(即推文)等。[2023/4/25 14:26:23]

RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK

RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8

RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs

电影《华尔街之狼》制作公司将推出NFT:4月20日消息,拥有《华尔街之狼(The Wolf of Wall Street》版权的制作公司 Red Granite Pictures 正寻求出售基于标志性场景的 NFT,以帮助其从粉丝基础中获利,并打击盗版。该公司表示,只要支付100美元以上,粉丝就有机会拥有与《华尔街之狼》中场景相关的 NFT 收藏品,买家将成为在线社区的成员,可以购买道具和服装等物品,并聆听原声带中的混音歌曲。(彭博社)[2023/4/20 14:16:18]

RVN团队表示已经追踪到其中一个黑客团队的线索,并已经掌握攻击者的信息,希望其将增发的RVN转至特定的地址进行销毁。RVN团队称已有总计约390万枚增发的RVN被销毁。

动态 | 数字货币项目SpankChain遭到黑客攻击 近4万美元ETH被盗:据Coindesk消息,数字货币项目SpankChain称周六下午18:00左右损失了165.38 ETH(当时价值约3.8万美元)。另有价值4000美元的BOOTY币遭冻结。此次攻击或是通过智能合约漏洞进行。该攻击者创建了一个伪装成ERC20令牌的恶意合约,其中”转移“功能多次重新调用支付渠道合同,每次耗尽一些ETH。[2018/10/9]

此外,官方团队没有通过类似ETH硬分叉的形式来解决攻击,而是间接承认了这些增发币的有效性。为了保证总供应量不变,官方给出的建议方案是降低未来挖矿总收益,不过这个方案还需要得到社区的认可,并最终通过链上BIP9升级后才能生效。

此次漏洞除了增加RVN的通胀率之外,不会影响用户已有的RVN资产和转账。

RVN原有发行总量为210亿,出块时间为1分钟,目前的区块奖励为5,000个RVN,每210万个区块后奖励会减半,也就是约4年减半一次。根据官方目前给出的方案,每次减半将比之前提前59,580个区块。

攻击者行为复盘

1月16日,名为WindowsCryptoDev的开发人员在RavencoinGithub提交了一个PR,表面看起来是在完善节点返回的报错信息,该PR很快就得到了Ravencoin官方人员的反馈,并合并进主分支。

PR详情

原先的代码,对于asset相关的交易,只要交易的RVNoutputvalue不是0,都会返回“bad-txns-asset-tx-amount-isn't-zero”报错信息。

该PR针对不同的asset交易类型进行了报错信息优化,表面看起来是为了方便开发者区分具体的报错原因,但是黑客留了一个后门,即没有针对TX_REISSUE_ASSET进行报错信息优化。注意,这样带来的后果不仅仅是报错信息不可分辨,而是将原本不合法的交易判断为合法的交易,最终导致了RVN的增发。

1月17日,黑客在Ravencoin主网持续发布TX_ISSUE_ASSET交易,为后续的TX_REISSUE_ASSET攻击提供基础。

5月9日,黑客开始每隔2小时在Ravencoin主网发起一个TX_REISSUE_ASSET交易,增发500,000RVN到自己的地址,该行为一直持续到?7月3日,此时黑客察觉到官方已经准备对bug进行修复。

7月4日,主网上还出现了3笔新的攻击交易,增发了两笔1,000,000RVN和一笔2,804,398RVN,不过这3笔攻击交易应该都不是之前的黑客所为。

从SolusExplorer统计来看,最终总增发量为301,804,400RVN,也就是超过3.01亿RVN。

安全提示

虽然此次漏洞只影响了Ravencoin网络,但是还有很多其它区块链系统也遇到过类似的安全问题。例如Bitcoin曾经在2018年被爆出过类似严重的安全漏洞,攻击窗口从2017年10月持续到2018年8月,同时影响了所有2017年10月之后基于Bitcoin代码开发的新币种。不过当时的bug并不是黑客恶意引入,而是开发人员的错误导致,值得庆幸的是,该bug在被开发人员修复之前没有被任何黑客利用。

对于区块链开源项目来说,代码贡献者的技术能力、贡献动机等因素都存在诸多不确定性,因此在代码review上需要核心开发团队把好关。

标签:RVNOINCOICOINrvn币官网CoinExCoinMoonerbitcointoken

火币APP下载热门资讯
POW:观点 | Filecoin是否能吸取EOS前车之鉴,负重前行?_filecoin币会涨到多少钱最新

作者:Joss 来源:IPFS原力区 “产业区块链旨在解决商业环境中平等参与者之间的特定业务问题,比如,优化业务流程、降低成本、消除中间人等,其与产业、商业、交易等结合.

DEFI:行情分析:比特币价格又创新高,八月牛市已然初现_比特币市值占比判断牛市

比特币在昨日回调至11000位置附近反弹之后,行情虽然有点磕磕绊绊,但整体上涨趋势明显,在突破11250压制位置后,更是进一步走出一波上行.

TVL:一文读懂DeFi及流动性挖矿高收益的风险、可持续性、数据真实性_波特币与比特币

Coinbase打造的AroundtheBlock系列旨在阐明加密行业中的关键问题。在本期文章中,Coinbase企业开发+风险投资部门的贾斯汀·玛特探索了迅速发展的DeFi格局和“收益耕耘”的.

Compound:另类稳定币AMPL:另类的稀缺性_comp币最新价格

有段时间没看到这么大胆的设计了,AMPL让蓝狐笔记印象深刻!不管AMPL能否成功,它都会在加密史上留下印记。同时,它也一定会是争议很大的项目,这会一直伴随着它,直到它最终成功或失败.

EFI:DeFi热潮下,以太坊链上资源紧张,牛市未到“大拥堵”已在途?_DEFI

区块链世界的头号公链以太坊,近期交易手续费再次暴涨。从2017年的ICO,到2018年Fomo3D,再到2020年的DeFi,以太坊发展历程上的每一次热潮,都会导致网络拥堵,可以说以太坊的发展史.

以太坊:比特币“明庄”灰度_DEFI

作为首支主动接受SEC监管的加密数字货币基金,灰度的举动备受关注。尤其今年年初以来,灰度旗下的比特币信托(GBTC)表格10生效,开始按照SEC标准进行信息披露,管理规模不断创新高,灰度这头“巨.