几周前,比特币代码中发现了一个严重的bug,现在这个bug已经被黑客利用在了一个鲜为人知的加密货币身上,并且大量生产出了大量代币。本周二,加密货币Pigeoncoin开发人员证实了一名匿名黑客攻击者成功利用了在9月26日发现的比特币漏洞,并且已经生产出了2.35亿个PGN代币,价值约为1.5万美元。此前的比特币漏洞可以引发严重通胀问题,但是从过去几年的经验来看,其他加密货币如果想要利用比特币开源代码来生产其他代币仍然不是件容易的事情。可是该漏洞一旦被利用,就会让攻击者能够生产出尽可能多的代币,甚至会超过加密货币硬编码中的供应限制,继而降低持有者手中的代币价值。Pigeoncoin目前采用的是X16r挖矿算法,而且也不是一个市值较大的加密货币,在CoinMarketCap上的排名甚至都没有跻身到前1000名。尽管如此,本次攻击也让人们再次质疑区块链技术安全性、以及能够终止数据滥用等问题的能力。Pigeoncoin目前的总供应量为9.7亿个,本次黑客生产出的代币数量占到了其公开交易总量的四分之一,也导致了唯一交易该代币的加密货币交易所CryptoBridge临时暂停了交易。该交易所已经宣布,他们将配合开发人员启动修复工作。在检测到Pigeoncoin出现通货膨胀问题之后,该代币的开发人员迅速发布了一套软件修复程序,该程序借用了几周前比特币开发人员推出的修复代码。Pigeoncoin开发人员解释道:“采矿池和加密货币交易所必须立即升级软件,已解决从比特币开源代码中引发的双重支付问题。”不过,由于Pigeoncoin这个加密货币鲜为人知,所以人们似乎并不太关心它未来会发生什么状况,以及对整个加密货币行业会产生什么样的影响。但是,加密货币开发人员斯科特·罗伯茨认为,这次黑客事件其实比上次爆出的比特币漏洞更为严重:“通过本次事件,你会发现很多山寨币真的非常脆弱,这不仅仅是一些模糊理论的问题。”下一步需要做什么
安全团队:稳定币DEI被盗资金目前存在黑客地址:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月6日,DEI项目遭到攻击总共约损失超600万美元,被盗资金目前存在黑客地址。
Beosin安全团队分析原因是DEI代币合约中存在一个burnFrom函数,该函数在获取用户授权值的时候,将两个地址参数写反,导致获取的授权值为黑客可操控的值。扣除销毁数量后,函数将授权值更新为了一个错误的授权值,使得黑客可以直接将pair中的DEI代币转移出去并将稳定币兑换出来。
BSC交易:0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3
Arbitrum交易:
0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef[2023/5/6 14:46:00]
虽然现在这个bug已经得到了解决,但是行业观察家们希望了解黑客攻击者到底想要做什么,并且也想知道他们是否会把额外生产的Pigeoncoin兑换成法定货币。如果想要兑换成法定货币,黑客很可能会先把Pigeoncoin兑换成其他更容易被市场接受的加密货币,然后再兑换成法定货币。Pigeoncoin开发人员迈克尔·奥特斯表示:“现在,我们很多开发人员正在关注这些被恶意生产出来的Pigeoncin代币,并且看看黑客究竟会做些什么,他们可能很快就会进行一些转储交易。我猜测,资金在最近几天不会被转移,因为黑客不会愚蠢到操之过急地转移这些代币。”另一个问题是,如果Pigeoncoin受到了攻击,那么其他山寨币是否也会遭受同样的攻击呢?开发人员斯科特·罗伯茨表示,现在有必要关注多少山寨币因为这个比特币漏洞而遭受攻击,但到目前为止,Pigeoncoin是唯一被披露因此漏洞而遭受攻击的山寨币。不过,斯科特·罗伯茨补充表示,现在很多加密货币已经完成了升级,因此这些加密货币应该不会受到相关漏洞的影响。
盗取Ed Sheeran等歌手未发行歌曲并以比特币出售的黑客入狱:10月29日消息,据BBC近日报道,英国歌手Ed Sheeran和美国饶舌歌手Lil Uzi Vert等人的未发行歌曲被黑客盗取,该黑客将歌曲在暗网出售,赚取加密货币,后该黑客借此获得了13万英镑的违法所得。
案件始于2019年,名为Spirdark的用户盗取了89 位歌手的 1,263首未发行歌曲。在侦查过程中,检方通过获取Spirdark设置加密货币账户的电子邮箱成功找到黑客Kwiatkowski。并在该黑客的硬盘上找到了他记录的盗取歌曲的方法和现被没收的比特币。[2022/10/29 11:55:47]
黑客再次通过“Vanity Adress”漏洞中获得价值近100万美元的ETH:金色财经报道,一名“0x9731F”的黑客再次通过以太坊“虚名地址(Vanity Adress)”漏洞中获得价值近 100万美元的 ETH。据悉,黑客使用了一个名为“Profanity”的工具生成以太坊“虚名地址”,手段与此前对做市商 Wintermute 的 1.6 亿美元攻击手法极为相似。另据 PeckShield 披露数据,该黑客于 9 月 25 日 窃取了 732 枚 ETH,然后将资金直接转移到现已获准的加密货币混合器 Tornado Cash。不过,攻击发生之后 Profanity 开发人员已采取措施确保没有人继续使用该工具,相关代码已被开发人员置于不可编译的状态且未设置为接收更多更新,存储库也已被归档。[2022/9/26 22:30:52]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。