安全一览 👀
DeFi 攻击
- Gala Game
5月20日,Gala 一名管理员的私钥被盗,攻击者铸造了 50 亿枚 GALA 代币,并在链上兑换了价值 2100 万美元 的代币。随后,Gala 的一份官方报告指出,此次漏洞涉及第三方承包商,内部流程已得到纠正,包括移除未经授权的用户。经过对内部线索的调查,攻击者的身份已确认,被盗资产已全部归还。
官方报告:Gala 新闻
对于项目团队而言,建立必要的特权操作监控系统至关重要。私钥管理不当会带来严重的风险,可能导致内部和外部攻击者获得管理员权限或访问私钥。在此示例中,使用 Phalcon 本可以避免损失。
- Sonne Finance 事件
5 月 14 日,Optimism 上的 Sonne Finance 遭到攻击,导致损失超过 2000 万美元。根本原因是 Compound V2 的精度损失。尽管 Sonne 团队意识到了这个问题,并计划在市场部署时增加流动性以避免该问题,但攻击者利用了一个漏洞。timelock 中的多个计划交易可以被任何人执行,攻击者在未添加流动性的情况下执行了市场部署,完成了攻击。
如果 Sonne 使用 Phalcon,他们将能更早地检测到攻击,并将损失限制在 300 万美元,而不是 2000 万美元。 了解更多
- TCH
5 月 17 日,TSC 在 BSC 网络上遭到攻击,由于签名重放问题,损失超过 11,000 美元。开发者应该了解至少三种类型的签名可塑性:
由于 ECDSA 的特性,如果 (r, s, v) 有效,那么 (r, secp256k1n-s, 55-v) 也有效,因为以太坊的 ecrecover 允许两者。为解决此问题,OpenZeppelin 签名库将 s 限制为小于 secp256k1n/2+1。 (OpenZeppelin Contracts)
关于 v 的值,0 和 27 表示相同,1 和 28 也表示相同,其中 27 是编码标准。一些库在验证前将 0 和 1 转换为 27 和 28,但 OpenZeppelin 目前仅支持 27 和 28。
OpenZeppelin 之前支持两种类型的字节签名,一种是以 v 作为 s 后面的单独字节,另一种是以 v 作为 s 的高位。 (Malleable Signatures)
- TonUP
TON 链上的项目 TonUP 宣布其质押合约被黑客攻击,计划分配资金回购 307,264 枚代币以补偿用户。新生态系统带来新机遇的同时,也伴随着被黑客攻击的威胁。
🫡 5 月份重大攻击的攻击交易、根本原因和 PoC 都记录在我们的安全事件列表中,供您查阅。
网络钓鱼
- Pink Drainer
Pink Drainer 宣布关闭,声称已赚够钱,计划退休。然而,退出这个领域可能并不像他们预期的那么简单。
- 巨鲸地址投毒攻击
5 月 3 日,一只巨鲸遭受了地址投毒攻击,损失了价值约 7000 万美元的 1,155 WBTC。幸运的是,在社区的不懈努力下,攻击者归还了资金。网络钓鱼攻击涉及社会工程学,即使是最精通 DeFi 的专家也可能成为目标。保持警惕!
法律行动
5 月 15 日,美国司法部宣布逮捕了两名兄弟,他们因攻击以太坊区块链并窃取 2500 万美元加密货币而被捕。这些攻击者利用 Flashbot Relay 中的漏洞攻击 MEV 机器人。这是一次高度复杂的攻击,我们的深度分析可在此处查阅。
在此处阅读司法部的新闻稿。
博客文章
Phalcon 虚拟体验之旅
😎 准备好进行一场与黑客的生死搏斗了吗?
我们邀请您免费参加“Phalcon 虚拟体验之旅”。
与黑客作战,面对真实的链上攻击,并使用我们自动化的攻击阻止平台 Phalcon 来拯救数百万资产!您准备好成为一名英雄了吗?
MetaSuites现已支持Solana!
MetaSuites 5.0 重大升级引入了对 Solana 的支持,增加了跨站点本地标签,并增强了 DeBank、Arkham 和 Merlin Scan!点击此处了解更多。
🎉🎉🎉
我们非常高兴地宣布,我们尊贵的合作伙伴 DeFiHackLabs 已获得 GCC 提供的 35,000 USDT 赠款。这笔资金将作为他们的初始运营资金,支持他们在 Web3 安全领域的持续努力,并培养更多人才。
祝贺 DeFiHackLabs 获得这项当之无愧的认可,并期待我们共同取得更多突破性成就! 👏
