[慢雾:PAID Network攻击者直接调用mint函数铸币]慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出,在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。
此前报道,PAID Network今天0点左右遭到攻击,增发将近6000万枚PAID代币,按照当时的价格约为1.6亿美元,黑客从中获利2000ETH。
相关快讯:
慢雾科技创始人余弦:安全的预算需要占到全年预算的20%左右:针对最近出现的安全问题,慢雾科技创始人余弦在微博上表示:给加密货币行业一个中肯建议:这个行业,自带金融属性,无国家安全力量保障,盗币溯源有很难。安全的预算需要占到全年预算的20%左右,这比例一部分(可能是大部分)是内部安全成本消耗,一部分是给第三方职业安全团队(如慢雾),一部分是给社区的白帽黑客。另外,做个安全应急准备金,黑天鹅出来后,可以拿来做些弥补及挽救支持的。既然喊了安全第一,既然安全也是区块链三大必备基础元素之一,那就这样干,不应该有任何的犹豫和幻想。[2020/4/20]
声音 | 慢雾预警:Fastwin再次被攻破,攻击者获利2000多枚EOS:根据慢雾威胁情报系统捕获,今日(1月31日)凌晨前后,知名竞技类EOS DApp Fastwin再次被攻破,攻击者获利2000多枚EOS,攻击者是此前攻击 BETX 的同一批账号。慢雾安全团队提醒类似项目方全方面做好合约安全审计并加强风控策略,攻击者们已经开启了狩猎攻击模式。[2019/1/31]
公告 | 慢雾区发布EOS假账号安全风险预警:慢雾区发布EOS假账号安全风险预警称:如果EOS钱包开发者没对节点确认进行严格判断,比如应该至少判断15个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意如下:
1.用户使用某款EOS钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功;
2.用户立即拿这个账号去某交易所做提现操作;
3.如果这个过程任意环节作恶,都可能再抢注aaaabbbbcccc这个账号,导致用户提现到一个已经不是自己账号的账号里。
防御建议:轮询节点,返回不可逆区块信息再提示成功。[2018/7/16]
郑重声明: 慢雾:PAID Network攻击者直接调用mint函数铸币版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。