研究人员:闪电网络中的漏洞可以通过大规模双花攻击窃取超过750BTC

2022-08-13 10:57:35

金色财经报道,伊利诺伊大学的两位研究人员 Cosimo Sguanci 和 Anastasios Sidiropoulos 发表了一篇论文,发现了闪电网络中的漏洞,他们使用恶意节点可以串通攻击的假设案例解释了Layer 2网络中的漏洞。只有30个节点的联盟可以通过僵尸攻击将 31%的通道的资金锁定约2个月,并可以通过大规模双花攻击窃取超过 750 BTC(约1800万美元)。 研究人员表示,这两次攻击利用比特币区块链上的拥塞对闪电网络造成损害。如果发生双花攻击,可能是最灾难性的。随着网络的不断发展,严重性只会增加,因此需要立即有效地处理漏洞。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
20:39
研究人员发现比特币闪电网络漏洞或致750枚BTC被盗
8月12日消息,伊利诺伊大学的研究人员发现了比特币闪电网络的漏洞,可能导致750枚BTC(约1800万美元)被盗。 两位研究人员Cosimo Sguanci和Anastasios Sidiropoulos发表了一篇论文,用一个假设的情况解释了Layer 2网络中的漏洞,即恶意节点可以合谋进行攻击:“一个只有30个节点的联盟可以通过僵尸攻击锁定31%通道的资金约2个月,并可以通过大规模的双花攻击窃取超过750枚比特币。” 根据这篇论文,僵尸攻击是一种破坏行为,它会阻塞网络,使闪电网络无法使用。研究人员指出,防御这种攻击的唯一方法是让诚实节点关闭它们的通道,并返回到比特币Layer 1网络,但这将花费大量的交易费用。(Crypto Slate)
15:14
安全团队:DFX Finance存在严重漏洞遭攻击攻击者获利逾23万美元
11月11日消息,据慢雾安全团队情报,2022 年 11 月 11 日,ETH 链上的 DFX Finance 项目遭到攻击,攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下: 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数,在该函数中会将第二步中借来的资金转移回 Curve 合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中,使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
11:17
黑客利用零日漏洞从General Bytes旗下比特币ATM中窃取加密货币
8月21日消息,黑客正在利用 General Bytes 旗下比特币 ATM 服务器中的零日漏洞(zero-day vulnerability)从客户那里窃取加密货币。General Bytes 是比特币 ATM 制造商,根据产品的不同,允许人们购买或出售 40 多种不同的加密货币,这些 ATM 由自研加密应用服务器(CAS)控制,据其发布的安全公告称,相关漏洞自 20201208 版本后就一直存在于 CAS 软件中。 据悉,黑客通过修改购买和出售加密设置以及「无效支付地址」以将 CAS 收到的任何加密货币转入黑客钱包地址,目前尚不清楚有多少服务器受此漏洞破坏,以及有多少加密货币被盗。(BleepingComputer)
17:03
Raydium漏洞补偿提案投票通过将补偿因黑客攻击受损的投资者
据官方消息,Solana生态去中心化交易所Raydium的漏洞补偿提案以100%的支持率获得投票通过,该提案旨在补偿因12月15日黑客攻击而受损的投资者。 补偿资金来源于两部分,分别为1. 使用Squad的多签部署withdrawPNL并从金库收集PNL,所赚取的费用将用于回购RAY并存入指定地址。2. 运用金库资产来补偿黑客攻击造成的损失。 此前12月16日消息,Raydium多个资金池遭到攻击,总损失约为439.5万美元。
16:30
一零转账骗局攻击者从一笔交易中窃取约85万USDT
金色财经报道,据 PeckShield 监测,4月4日15:03,一个零转账骗局攻击者从一笔交易中获利约85万USDT。 钓鱼地址为:0xEB40342d0F7A5a0AACEFBb9A32C9D2e22184683d,受害者本来的转账目的地地址为:0xEb40342d42967A70066EfDB498c69Fd8B184683D。
00:09
SWIFT:央行数字货币可以快速大规模部署
金色财经报道,全球银行间金融电信协会 (SWIFT)宣布已通过两个独立的实验成功地将央行数字货币 (CBDC) 和代币化资产转移到现有金融基础设施上。据 SWIFT 称,结果表明“CBDC 可以快速大规模部署,以促进全球 200 多个国家和地区之间的贸易和投资。”据悉,包括法兰西银行、德意志联邦银行、汇丰银行、联合圣保罗银行、NatWest、SMBC、渣打银行、瑞银和富国银行在内的 14 家中央银行和商业银行现在正在SWIFT测试环境中进行合作,以加速全面部署央行数字货币。不仅如此,SWIFT还证明了其基础设施可以将代币化平台与不同类型的现金支付相结合,并且与 Citi、Clearstream、Northern Trust 和 SETL 合作探索了 70 个场景,包括模拟代币化债券、股票和现金的市场发行和二级市场转移。(cointelgraph)
Copyright © 2018-2022 211COIN版权所有.