安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞

10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Beosin Trace正在對被盜資金進行實時追蹤。

其它快訊：

安全團隊：NeorderDao項目的N3DR代幣合約的owner地址疑似私鑰泄露:5月11日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，NeorderDao項目的N3DR代幣合約的owner地址疑似私鑰泄露，累計被盜金額930個BNB。經成都鏈安技術團隊分析，本次攻擊原因是攻擊者利用被盜的owner地址，給惡意地址添加Operator權限，再通過添加Operator權限的地址調用N3DR代幣合約中的emergencilyTransfer函數，把0x1bBbbB0d79932047Fd29CdBB401B29b13306E090地址中的N3DR代幣轉移到攻擊者地址，最后攻擊者把獲取到的N3DR代幣通過pair交易兌換出930個BNB。

攻擊交易：0xf039a71f2325560723a5bb956b3950de7bbc1646fb9cfb162983d21a89994113

攻擊者地址：0xcd5bae758f0e576c49a1dd34f263090f76e763df

攻擊者合約：0xa5be5a1570172e8b48783ad4e0bb2669491f35ce[5/11/2022 10:52:36 AM]

安全團隊：Legends of Optimus和SolarCity Finance發生Rugpull:4月15日消息，派盾發推表示，Legends of Optimus和SolarCity Finance發生Rugpull。據悉這兩個項目是同一個開發者，目前Optimus和SolarCity代幣都下跌了98%，提醒用戶注意風險。[4/15/2022 10:09:50 PM]

動態 | 慢霧安全團隊剖析EOS 合約競猜類游戲 FFgame 被攻擊事件:據慢霧安全團隊消息，針對 EOS 合約競猜類游戲 FFgame 被攻擊事件的剖析，慢霧安全團隊通過與 FIBOS 創始人響馬的交流及復測推測：攻擊者通過部署攻擊合約并且在合約中使用與 FFgame 相同算法計算隨機數，產生隨機數后立即在 inline_action 中使用隨機數攻擊合約，導致中獎結果被“預測”到，從而達到超高中獎率。該攻擊者從第一次出現盜幣就已經被慢霧監控賬戶變動，在今日凌晨（11.8 號）已經第一時間將威脅情報同步給相關交易所平臺。

慢霧安全團隊提醒類似開發者：不要引入可控或可預測隨機數種子，任何僥幸都不應該存在。[11/8/2018 12:00:00 AM]