OSS:慢雾分析Poly Network被攻击根源：跨链合约Keeper可被黑客修改，随意构造交易

链捕手消息，安全分析团队慢雾发布PolyNetwork被攻击事件的分析报告。慢雾认为，该攻击瞄准的潜在漏洞是EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改，而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。

以太坊客户端Prysm已通过慢雾安全审计：发现2个低风险和1个建议漏洞:金色财经报道，慢雾(SlowMist)宣布已正式完成了对以太坊共识层客户端 Prysm 的安全审计服务，发现了2个低风险和1个建议漏洞，目前问题已得到解决，并由审计人员再次审查并通过。Prysm是当前用户规模最大的以太坊客户端，目前有超过 42% 的验证节点都在使用 Prysm 验证交易，由以太坊核心开发团队 Prysmatic Labs 开发。[2023/2/23 12:23:48]

因此，攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper，替换keeper角色的地址后，攻击者可以随意构造交易，从合约中提取任意数量的资金。而keeper的私钥泄漏并非该事件根源。

慢雾余弦：多数稳定币都有拉黑地址操作，未来或看到更多黑地址:金色财经报道，慢雾科技创始人余弦刚刚发微博称，不少人惊讶USDT、USDC有拉黑地址的操作，其实GUSD、PAX、TUSD等知名稳定币都有。智能合约代码就在那，设计文档就在那，都能看到可以满足AML(反)/CTF(反恐融资) 的设计，从诞生起就有的设计。未来可以看到更多黑地址的出现。AML/CTF如果精准，那绝对是好事，当然如果误伤，那就麻烦了。 ????[2020/7/11]

昨日，跨链互操作性协议PolyNetwork在以太坊、BSC与Polygon部署的智能合约同时遭到黑客攻击，价值超过5.9亿美元的USDC、ETH等资产被黑客转移。该攻击为DeFi迄今为止最严重的安全事故。

动态 | 慢雾区：已修复EOS智能合约底层asset类溢出缺陷:据慢雾区消息， EOS智能合约底层asset类存在溢出缺陷，目前 EOSIO v1.1.4版本已修复该问题。如果智能合约中使用到了 asset的乘法操作，建议更新对应的代码并重新编译合约。因为像 asset这样的工具代码是静态编译进合约中的，必须重新编译才能解决其中的安全隐患。[2018/8/9]

标签：OSSROSAINChainZK Cross Chain BridgeFROST价格KingXChainbaerchain

fil币价格今日行情热门资讯