Equipo de seguridad: Se atacó el contrato NFTStake del proyecto ownlyio, con una pérdida de alrededor de $36 418

[Equipo de seguridad: el contrato de adquisición de NFTS del proyecto ownlyio fue atacado, y el monto de la pérdida fue de aproximadamente 36,418 dólares estadounidenses] Según las noticias del 11 de mayo, según la opinión pública de seguridad que monitorea los datos de "Chain Bing-Blockchain Security Situational" de Chengdu Lianan. Awareness Platform", el contrato The NFTStake del proyecto ownlyio fue atacado, con un total de 115 BNB robados y una pérdida de alrededor de $ 36,418. Según el análisis del equipo técnico de Chengdu Chain Security, el motivo de este ataque es que la función de deshacer del contrato de compromiso del proyecto ownlyio no verificó el estado del reclamo del usuario, por lo que el atacante puede usar la función de deshacer para recibir el token propio en el contrato infinitamente, extrayendo así el contrato de compromiso.Todos los tokens propios, y finalmente el atacante intercambió los tokens propios adquiridos por 115 BNB a través de una transacción de par.

Transacción de ataque: 0x2cbe47edb040c710b7f139cbea7a4bced4d6a0d6c5aa4380f445880437ea072f

Dirección del atacante: 0xba31058357ea2f474a2ed0d1b3f9183904ebd38a

Contrato del atacante: 0xa81ea095e0c3708e4236c71146748fa15b620386

Otras noticias:

Equipo de seguridad: los usuarios de Slack deben prestar atención a los riesgos de phishing de correo electrónico y relleno de credenciales relacionados con incidentes de vulnerabilidad: según las noticias del 11 de agosto, según el equipo de seguridad de SlowMist, el equipo de Slack reparó recientemente el enlace de invitación del usuario al crear o revocando su espacio de trabajo Una vulnerabilidad en la que el hash de la contraseña de un usuario se envía a miembros de otros espacios de trabajo. Esta vulnerabilidad afecta a todos los usuarios que crean o revocan enlaces de invitación a sus espacios de trabajo entre el 17 de abril de 2017 y el 17 de julio de 2022.

En la actualidad, el equipo de slack ha restablecido por la fuerza las contraseñas de los usuarios afectados. El equipo de seguridad de SlowMist recuerda a los usuarios de slack relevantes que presten atención a los riesgos de phishing de correo electrónico y credenciales de bases de datos relacionados con este incidente, y cambien de inmediato las contraseñas de otras cuentas. que sean consistentes con las contraseñas utilizadas por Slack. [2022/8/11 12:18:51]

Equipo de seguridad: Changpeng Zhao puede haber informado incorrectamente la vulnerabilidad del protocolo Uniswap: Jinse Finance informó que, según las redes sociales oficiales de PeckShield, según la investigación preliminar de la compañía, Changpeng Zhao puede haber informado incorrectamente la vulnerabilidad del protocolo Uniswap. [2022/7/12 2:07:04]

Equipo de seguridad de SlowMist exclusivo de Golden: Hay al menos 6 formas de conducir al robo de claves privadas de EOS: En respuesta al incidente de robo de clave privada de EOS, Golden Finance invitó al equipo de seguridad de SlowMist a interpretar el asunto. El equipo de seguridad de SlowMist dijo: La votación de EOS es la clave. El problema del robo de claves privadas ocurre con frecuencia en el período. El equipo de seguridad de SlowMist ha integrado la experiencia del Equipo Rojo de Joinsec en el ataque y la defensa y el análisis de inteligencia de amenazas clandestinas de piratas informáticos. Las posibles formas de robo son las siguientes. :

1. Se utiliza una herramienta de mapeo insegura. Las claves públicas y privadas utilizadas para el mapeo están controladas por el desarrollador de la herramienta (atacante). Cuando la red principal de EOS se conecta, el atacante actualiza inmediatamente las claves públicas y privadas con updateauth;

2. La herramienta de mapeo no usó el cifrado SSL durante la transmisión de la red, y el atacante reemplazó las claves públicas y privadas utilizadas para el mapeo a través de un intermediario;

3. Se utilizó una herramienta de votación de supernodo EOS insegura y el desarrollador de la herramienta (atacante) robó la clave privada de EOS;

4. La clave privada se importó en la "red principal" y la billetera inseguras de EOS, y el atacante robó la clave privada de EOS;

5. El medio donde el usuario almacena la clave privada no es seguro, como buzones de correo, notas, etc., puede haber contraseñas débiles que pueden ser robadas por el atacante para iniciar sesión en la clave privada;

6. Cuando la clave privada se copia en el teléfono móvil o en la computadora, es robada por un software malicioso.

Al mismo tiempo, el equipo de seguridad de SlowMist recuerda a los usuarios que verifiquen sus activos por sí mismos. Puede usar la clave pública (una cadena que comienza con EOS) para verificar si la cuenta asociada es correcta y si el saldo es correcto en https:// eosflare.io/. Si encuentra una anomalía y confirma que es robada, puede consultar los documentos compilados por EOS Canon Community Bean https://bihu.com/article/654254[2018/6/14]