安全一览 👀
DeFi 漏洞
- Gala Game
5月20日,Gala管理员的私钥被盗,攻击者铸造了50亿枚GALA代币,并在链上兑换了价值2100万美元的代币。随后,Gala的一份官方报告指出,此次泄露涉及第三方承包商,并且内部流程已得到纠正,包括移除未经授权的用户。在对内部线索进行调查后,攻击者的身份得到确认,被盗资产也已全部归还。
官方报告:Gala News
对于项目团队而言,建立必要的特权操作监控系统至关重要。私钥管理不当会带来严重的风险,导致内部和外部攻击者获得管理员权限或访问私钥。在此示例中,使用Phalcon本可以避免损失。
- Sonne Finance 事件
5月14日,Optimism上的Sonne Finance遭受攻击,导致损失超过2000万美元。根本原因是Compound V2的精度损失。尽管Sonne团队意识到了这个问题,并计划在市场部署时增加流动性以避免该问题,但攻击者利用了一个漏洞。在时间锁中安排的多个交易可供任何人执行,攻击者在未添加流动性的情况下执行了市场部署,完成了攻击。
如果Sonne使用了Phalcon,他们会更早地检测到攻击,并将损失限制在300万美元,而不是2000万美元。了解更多
- TCH
5月17日,TSC在BSC网络上遭到攻击,由于签名重放问题,遭受了超过11K美元的损失。开发人员应了解至少三种类型的签名可塑性:
鉴于ECDSA的特性,如果(r, s, v)有效,则(r, secp256k1n-s, 55-v)也有效,因为以太坊的ecrecover允许两者。为了解决这个问题,OpenZeppelin签名库将s限制在小于secp256k1n/2+1。(OpenZeppelin Contracts)
关于v的值,0和27表示相同,1和28也表示相同,其中27是编码标准。一些库在验证前将0和1转换为27和28,但OpenZeppelin目前只支持27和28。
OpenZeppelin之前支持两种字节签名,一种是将v作为跟随s的独立字节,另一种是将v放在s的高位。(Malleable Signatures)
- TonUP
TON链上的项目TonUP宣布,其质押合约被黑客攻击,计划分配资金回购307,264枚代币以补偿用户。新的生态系统带来新机遇的同时,也伴随着被黑客攻击的威胁。
🫡 5月份主要攻击的攻击交易、根本原因和PoC均记录在我们的安全事件列表中供您查阅。
网络钓鱼
- Pink Drainer
Pink Drainer宣布关闭,声称已经赚够了,并计划退休。然而,退出江湖可能不像他们预期的那么顺利。
- 巨鲸地址投毒攻击
5月3日,一只巨鲸遭受了地址投毒攻击,损失了价值约7000万美元的1,155枚WBTC。幸运的是,在社区的不懈努力下,攻击者归还了资金。网络钓鱼攻击涉及社会工程学,甚至可以针对最精通DeFi的专家。保持警惕!
法律行动
5月15日,美国司法部宣布逮捕了两兄弟,他们因攻击以太坊区块链并窃取2500万美元加密货币而被捕。这些攻击者利用Flashbot Relay中的漏洞攻击MEV机器人。这是一次高度复杂的攻击,我们的深度分析可在此处查阅。
在此处阅读司法部的新闻稿。
博客文章
Phalcon 虚拟体验之旅
😎 准备好与黑客进行一场生死搏斗了吗?
我们邀请您免费参加“Phalcon 虚拟体验之旅”。
与黑客作战,面对真实的链上攻击,并使用我们的自动化攻击阻止平台Phalcon来挽救数百万资产!你准备好成为英雄了吗?
MetaSuites现已支持Solana!
MetaSuites 5.0重磅升级,新增对Solana的支持,增加了跨站点本地标签,并增强了DeBank、Arkham和Merlin Scan!点击此处了解更多。
🎉🎉🎉
我们非常高兴地宣布,我们尊贵的合作伙伴DeFiHackLabs获得了GCC提供的35,000 USDT赠款。这笔资金将作为他们的初始运营资本,支持他们在Web3安全领域的持续努力,并培养更多人才。
祝贺DeFiHackLabs获得这项当之无愧的认可,并期待我们共同取得更多突破性的成就!👏
