BTC/HKD-0.59%
ETH/HKD-0.24%
LTC/HKD+0.34%
DOT/HKD+2%
ADA/HKD+0.55%
SOL/HKD+0.98%
XRP/HKD-0.62%
DOGE/US-0.6%該攻擊不會導致交易所任何資金損失,但是會鎖定了交易所XMR流動性。
原文標題:《門羅幣(XMR)鎖定轉賬攻擊細節分析》作者:team
近日據慢霧區情報顯示,針對門羅幣(XMR)轉賬鎖定攻擊在多個交易所出現,慢霧安全團隊在收到情報第一時間進行分析跟進,本著負責任披露的原則我們第一時間在慢霧區進行了預警并為我們所服務的客戶進行了及時的情報同步以及協助檢測和修復。如有其他需要提供驗證和檢測服務歡迎聯系慢霧安全團隊。
攻擊步驟
0x01:通過monero-wallet-cli輸入密碼登錄錢包
0x02:通過命令發送鎖定交易
慢霧:過去一周Web3生態系統因安全事件損失近160萬美元:6月26日消息,慢霧發推稱,過去一周Web3生態系統因安全事件損失近160萬美元,包括MidasCapital、Ara、VPANDADAO、Shido、Slingshot、IPO、Astaria。[2023/6/26 22:00:21]
0x03:轉賬完成,交易所未進行鎖定交易(locked_transfer)檢測,接收到被設置鎖定區塊高度才能解鎖的幣(可以理解為鎖定了指定時間)。
0x04:惡意用戶立即提幣走人,留下交易所一臉懵逼。
造成影響
首先該攻擊不會導致交易所任何資金損失,但是會鎖定了交易所XMR流動性。
慢霧:過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息,據慢霧發推稱,過去一周Web3生態系統因安全事件損失約2400萬美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital,總計23,795,800美元。[2023/6/19 21:46:18]
極端情況舉例:如果交易所收到的都是需要鎖定一年甚至更多年的門羅幣則會導致一年內用戶來提幣的時候無幣可以提(只能去購買額外的幣來給用戶提取)。
聲音 | 慢霧:EOS假充值紅色預警后續:慢霧安全團隊今早發布了 EOS 假充值紅色預警后,聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現:從昨日開始,存在十幾個帳號利用這類攻擊技巧對數字貨幣交易所、錢包等平臺進行持續性攻擊,并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防御措施,嚴格校驗發送給自己的轉賬交易在不可逆的狀態下確認交易的執行狀態是否為 executed。除此之外,確保以下幾點防止其他類型的“假充值”攻擊: 1. 判斷 action 是否為 transfer 2. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約 3. 判斷代幣名稱及精度 4. 判斷金額 5. 判斷 to 是否是自己平臺的充幣賬號。[2019/3/12]
關于locked_transfer命令
monero-wallet-cli關于locked_transfer命令解釋如下:
locked_transfer](|)
轉賬命令:locked_transferFromAddressToAddress0.010120000
FromAddress:發送地址(一般為攻擊者錢包地址)ToAddress:接收地址(一般為交易所錢包地址)0.0101:為轉賬金額20000:為鎖定區塊數
如何防護
一般交易所會通過get_transfersRPC接口來解析XMR交易檢測充值是否到賬,在進行解析的時候只需要對unlock_time字段進行判斷是否大于0則可以進行有效檢測。
注:unlock_time為int類型,如果大于0則意味著該交易有鎖定區塊,為惡意交易可以不予確認到賬。為了避免充值不予到賬損害「用戶」利益可以進行另外一種處理:判斷鎖定區塊是否到達,如果未到達則不予入賬。
所有受影響RPC接口
get_transferget_bulk_paymentsshow_transferget_payments
同理:在其他地方使用了如上四個接口的地方也需要對unlock_time字段進行判斷是否大于0,大于0則不予充值到賬。
該問題之前在HackerOne也有被白帽子提過漏洞賞金,其中門羅官方回復:
文章鏈接:https://hackerone.com/reports/417515
附:官方文檔摘錄
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
Chinanews
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/4090323.html
門羅幣XMR
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
詳解DeFi借貸項目資產安全性:以MakerDAO、Compound與Dharma為例
下一篇:
幣安與黑客談判記錄首次披露,梳理幣安KYC泄露事件始末
Tags:ANSTRARANFEROCEANS價格Decentralized Tower DefenseRan x CryptoFerro
創新型全方位數字資產資管服務平臺UltrAlpha近期宣布,著名算法交易公司FingenomGroup旗下的加密貨幣部門Algoz即將加盟UltrAlpha平臺測試上線.
1900/1/1 0:00:00近日,央行支付結算司副司長穆長春在中國金融四十人論壇上,介紹了央行數字貨幣研發的進展情況和具體設計。并指出,經過五年的“996”,央行數字貨幣已經“呼之欲出”.
1900/1/1 0:00:00剛剛,火幣全球站官方公告,8月15日20點,火幣Prime五期項目EMOGINetwork將正式啟動上線交易.
1900/1/1 0:00:0008月03日,幣安上線內容公鏈Contentos并開通COS/BNB、COS/BTC、COS/USDT交易對.
1900/1/1 0:00:00對一些極其注重隱私的人來說,比特幣的匿名性并不出眾。目前,已有一些機構通過跟蹤、監測比特幣鏈上交易數據來給用戶畫像以及資金的往來情況.
1900/1/1 0:00:00免責聲明:本文僅為學術討論目的,僅反應作者個人觀點,不代表任何官方的態度或工作情況。作者簡介:龍白滔,清華大學計算機本科、碩士和博士。區塊鏈技術和貨幣金融理論獨立研究員,師從著名經濟學家朱嘉明.
1900/1/1 0:00:00
以太幣交易所
