比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 區塊鏈 > Info

慢霧余弦:比特幣銘文CVE漏洞不代表有必要修復,是否修復要看Bitcoin Core的態度

Author:

Block

Time:12/12/2023 12:56:31 PM

金色財經報道,慢霧創始人余弦在社交媒體上表示,比特幣序號銘文被扣個CVE編號本來一個社區爭議的問題,但是爭議方把這事提交給CVE這種影響力深遠的漏洞平臺,NVD(許多人說的美國政府機構)等漏洞平臺也是采納CVE編號,整個安全甚至IT行業都認這些標準。但是有一個客觀事實:CVE漏洞不代表都一定會或有必要修復,尤其是漏洞評分等級不高的,比如比特幣序號銘文這個,5.3分(滿分10分),中危漏洞,我們如果看細節,影響這個最終分數有好幾個指標,其中有的指標是0分,Impact這個“影響”指標也才1.4分。如果是這種情況,最終修復與否還真要看Bitcoin Core的態度,修復后執行與否還得看礦池們、看有影響力的各位的態度。

其它快訊:

慢霧MistTrack:去中心化協議BXH被盜超1.3 億美元,部分資金已跨鏈到以太坊和BTC:10月30日消息,去中心化交易協議 BXH于今日在BSC鏈遭到攻擊,目前,初始黑客獲利地址(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)已將 4000 ETH 從 BSC 鏈轉移到 ETH 鏈,接著將 300 BTCB 兌換為 renBTC 跨鏈到地址 (1Jw...9oU 和 1Fr...Vow)。BXH 團隊表示在?幣?態鏈( Heco)、OEC 以及以太坊上的資產處于安全狀態,但出于安全考慮,官方暫時暫停了存取款服務。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[10/30/2021 10:59:55 PM]

慢霧:Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日,慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中,用戶可以通過deposit函數抵押BPT代幣;

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子,并使用accRewardsPerToken來記錄累計獎勵;

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄;

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押;

5.此時攻擊者將第二次進行deposit,并通過claimRewards提取獎勵;

6.問題出在rewardWriteoff的具體計算,在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory,此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值;

7.由于memory中獲取的Pool值是舊的,其對應記錄的accRewardsPerToken也是舊的會賦值到miner;

8.之后再進行新的一次updatePool時,由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小,所以最后獲得的accRewardsPerToken將變大;

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值,在進行rewardWriteoff計算時獲得的值也將偏小,但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值;

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值,會導致計算出一個偏大的數值;

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣,導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[12/29/2020 3:58:07 PM]

動態 | 慢霧 TradingView 0day 漏洞預警:據 Joinsec 情報及慢霧安全團隊的深入分析,通用 K 線展示 JS 庫 TradingView 再次發現兩個 0day 漏洞,可繞過 Cloudflare 及瀏覽器 CSP 防御機制,并且不會在 Web 服務上留下日志。第一個 0day 漏洞如果被利用成功會導致用戶帳號權限被盜、交易惡意操作等,從而造成資產損失;第二個 0day 漏洞可以實施釣魚攻擊盜取用戶賬號密碼,也可在特殊場景下繞過目標 Web 服務的 CSRF 防御。TradingView 在數字貨幣交易等平臺被非常廣泛地應用,屬于商業軟件,版本分布未知。鑒于歷史披露及新發現的 0day 漏洞相關場景來看,我們強烈建議使用 TradingView 的項目方保持警惕,注意用戶的異常反饋。細節我們會在合適時機下披露。[3/1/2019 12:00:00 AM]

Turing Btichain:開放銘文社區投票空投活動,賦能優質銘文功能化

據官方消息,TBC官方面向更多銘文社區開啟聯合投票空投活動,根據社區活躍列出Btcs/rats/Pepe等銘文,以支持比特幣生態的繁榮發展.

Block Chain:12/12/2023 1:04:03 PM
美國11月CPI同比增長3.1% 符合預期

金色財經報道,美國11月CPI同比增長3.1%,預估為3.1%,前值為3.2%;11月CPI環比增長0.1%,預估為0.0%,前值為0.0%.

Block Chain:12/12/2023 1:04:02 PM
閃兌交易平臺上線1000SATS新資產

金色財經報道,幣安閃兌交易平臺已上線1000SATS新資產。用戶現可將1000SATS兌換成BTC、USDT或閃兌交易平臺支持的其他代幣,兌換免手續費.

Block Chain:12/12/2023 1:03:59 PM
Coinbase為機構用戶推出結算平臺Project Diamond

金色財經報道,Coinbase和Coinbase資產管理公司推出“Project Diamond”——一個智能合約驅動的平臺,旨在使機構能夠直接在鏈上創建、管理、購買和出售一系列數字原生資產.

Block Chain:12/12/2023 1:03:57 PM
KuCoin支付2200萬美元退出紐約市場以解決加密訴訟

金色財經報道,據@News_Of_Alpha,KuCoin支付2200萬美元退出紐約市場以解決加密訴訟其它快訊:KuCoin Ventures戰略投資Web3社交娛樂平臺Pixie:8月27日消息,加密貨幣交易所Ku...

Block Chain:12/12/2023 1:03:56 PM
BRC20穩定幣協議Uplink新增針對SATS持有者的空投計劃

12月12日消息,BRC20生態去中心化穩定幣協議Uplink Finance宣布,SATS與ORDI將成為Uplink Finance穩定幣協議首批抵押物之一,并更新BRC20生態地址快照空投計劃.

Block Chain:12/12/2023 1:03:49 PM
日本加密資產商業協會公布《區域振興DAO建設指南》

金色財經報道,日本加密資產商業協會(JCBA)公布《區域振興 DAO 建設指南》,旨在通過Web3技術推動區域振興DAO,鼓勵使用NFT和DAO組織披露基本信息,建立用戶保護機制.

Block Chain:12/12/2023 12:56:29 PM
幣安將于12月12日22:00上線1000SATS 1-50倍 U本位永續合約

金色財經報道,幣安將于2023年12月12日22:00(東八區時間)上線1000SATS 1-50倍 U本位永續合約.

Block Chain:12/12/2023 12:56:27 PM
某地址3小時前向Coinbase存入247萬BIGTIME,獲利115萬美元

金色財經報道,據The Data Nerd監測,3小時前,0x131開頭地址以0.67美元的價格向Coinbase存入247萬BIGTIME(165萬美元).

Block Chain:12/12/2023 12:56:26 PM
WeMade代幣WEMIX將重新上線Bithumb

金色財經報道,韓國游戲巨頭WeMade代幣WEMIX已獲準在韓國交易所Bithumb重新上線,充值開放時間為12月12日17:00(KST),提現和交易時間待定.

Block Chain:12/12/2023 12:56:24 PM
日本金融廳將FTX Japan在日本持有資產的命令延長三個月

金色財經報道,日本金融服務管理局根據《金融工具和交易法》將破產的加密資產交易所FTX Trading的日本子公司FTX Japan在日本持有資產的命令延長了三個月.

Block Chain:12/12/2023 12:56:23 PM
HashKey Exchange與新火科技將在虛擬資產合規基金等方面展開合作

據官方消息,香港持牌虛擬資產交易所 HashKey Exchange 宣布與新火科技控股有限公司(股票代碼:1611.HK,新火科技 SINOHOPE)正式達成戰略合作并簽署 MOU 協議.

Block Chain:12/12/2023 12:56:20 PM
ads