安全速览 👀
DeFi 攻击事件
- Gala Game
5 月 20 日,Gala 一位管理员的私钥被盗,攻击者铸造了 50 亿枚 GALA 代币,并在区块链上兑换成价值2100 万美元的代币。随后,Gala 的官方报告显示,此次泄露事件涉及第三方承包商,并且内部程序已经得到纠正,包括移除未经授权的用户。在对内部线索进行调查后,攻击者的身份得到确认,被盗资产已全部归还。
官方报告:Gala 新闻
对于项目团队而言,为特权操作建立必要的监控系统至关重要。私钥管理不善会带来严重的风险,可能导致内部和外部攻击者获得管理员权限或访问私钥。在此示例中,使用 Phalcon 本可以帮助避免损失。
- Sonne Finance 事件
5 月 14 日,Optimism 上的 Sonne Finance 遭到攻击,导致损失超过 2000 万美元。根本原因是 Compound V2 的精度损失。尽管 Sonne 团队意识到了这个问题,并计划在市场部署时增加流动性以避免此问题,但攻击者利用了一个漏洞。Timelock 中的多个预定交易对任何人开放执行,攻击者在未增加流动性的情况下执行了市场部署,完成了攻击。
如果 Sonne 使用了 Phalcon,他们会更早地检测到攻击,并将损失限制在 300 万美元,而不是 2000 万美元。了解更多
- TCH
5 月 17 日,TSC 在 BSC 网络上遭到攻击,由于签名重放问题,损失超过 11,000 美元。开发人员应了解至少三种类型的签名可塑性:
由于 ECDSA 的特性,如果 (r, s, v) 有效,那么 (r, secp256k1n-s, 55-v) 也有效,因为以太坊的 ecrecover 允许两者。为解决此问题,OpenZeppelin 签名库将 s 限制在小于 secp256k1n/2+1。(OpenZeppelin 合约)
关于 v 的值,0 和 27 含义相同,1 和 28 也一样,其中 27 是一个编码标准。一些库在验证前将 0 和 1 转换为 27 和 28,但 OpenZeppelin 目前仅支持 27 和 28。
OpenZeppelin 之前支持两种类型的字节签名,一种是将 v 作为 s 之后的独立字节,另一种是将 v 放在 s 的高阶。(可塑签名)
- TonUP
TON 链上的一个项目 TonUP 宣布其质押合约被黑客攻击,并计划分配资金回购 307,264 枚代币以补偿用户。新的生态系统带来新机遇的同时,也伴随着黑客攻击的威胁。
🫡 5 月份主要攻击的攻击交易、根本原因和 PoC 都记录在我们的安全事件列表中供您查阅。
网络钓鱼
- Pink Drainer
Pink Drainer 宣布关闭,声称已赚够并计划退休。然而,退出场景可能不像他们预期的那么简单。
- 巨鲸地址投毒攻击
5 月 3 日,一个巨鲸遭受了地址投毒攻击,损失了价值约7000 万美元的 1,155 枚 WBTC。幸运的是,在社区的不懈努力下,攻击者归还了资金。网络钓鱼攻击涉及社会工程学,甚至会针对最资深的 DeFi 专家。保持警惕!
法律行动
5 月 15 日,美国司法部宣布逮捕了两兄弟,他们因攻击以太坊区块链并盗窃 2500 万美元加密货币而被捕。这些攻击者利用 Flashbot Relay 的漏洞攻击 MEV 机器人。这是一次高度复杂的攻击,我们的深度分析可在此处获取。
在此处阅读 DOJ 的新闻稿此处。
博客文章
Phalcon 虚拟体验之旅
😎 准备好迎接一场与黑客的生死搏杀了吗?
我们邀请您免费参加“Phalcon 虚拟体验之旅”。
与黑客战斗,面对真实的链上攻击,并使用我们的自动化攻击拦截平台 Phalcon 来挽救数百万资产!你准备好成为英雄了吗?
MetaSuites现已支持Solana!
MetaSuites 5.0 重大升级引入了对 Solana 的支持,增加了跨站点本地标签,并增强了 DeBank、Arkham 和 Merlin Scan!点击此处了解更多。
🎉🎉🎉
我们非常高兴地分享,我们尊贵的合作伙伴 DeFiHackLabs 已获得 GCC 授予的 35,000 USDT 拨款。这笔资金将作为他们最初的运营资金,支持他们在 Web3 安全领域的持续努力,并培养更多人才。
恭喜 DeFiHackLabs 获得这项当之无愧的认可,期待我们共同取得更多开创性的成就!👏
