Equipo de seguridad: los atacantes del protocolo Onering están transfiriendo fondos a Tornado Cash

[Equipo de seguridad: los atacantes del protocolo Onering están transfiriendo fondos a Tornado Cash] El 3 de abril, el sistema de alarma BlockSec encontró que los atacantes del protocolo Onering transfirieron entre las 15:12 y las 15:19 el 3 de abril de 2022 Enviaron 14.5ETH a Efectivo Tornado. Se informa que Onering fue atacado el 24 de marzo y perdió más de 1,4 millones de dólares estadounidenses.

Otras noticias:

Equipo de seguridad: algunos de los fondos robados de Bill Murray fluyeron a Binance: Golden Finance News, la agencia de seguridad de blockchain CertiK dijo en Twitter que los fondos robados del comediante Bill Murray por valor de $ 110,000 se enviaron a cuatro direcciones Transferidas a Binance, la parte restante se transfirió a una nueva dirección y no hubo otra acción por el momento. Los fondos utilizados por los atacantes para lanzar el ataque provenían de direcciones donde se retiraron activos de Coinbase. [2022/9/3 13:06:52]

Equipo de seguridad: El proyecto DHE ha sido confirmado como un proyecto de ejecución Rug Pull: Jinse Finance News, según el seguimiento del equipo de seguridad de CertiK, el proyecto DHE ha sido confirmado como un proyecto de ejecución Rug Pull.

A las 6:27:17 am del 21 de junio de 2022, hora de Beijing, el precio de los tokens DHE cayó más del 91 %. El monto total de los daños ahora es de aproximadamente $ 142,000. [2022/6/21 4:41:46]

Análisis | Recordatorio del equipo de seguridad de SlowMist｜Advertencia de riesgo de seguridad de cuenta falsa de EOS: según el informe de IMEOS, advertencia de riesgo de seguridad de cuenta falsa de EOS, el equipo de seguridad de SlowMist recuerda:

Si el desarrollador de la billetera EOS no juzga estrictamente la confirmación del nodo, por ejemplo, se deben juzgar al menos 15 nodos de confirmación para decirle al usuario que la cuenta se creó con éxito, entonces pueden ocurrir ataques de cuentas falsas.

El ataque se indica de la siguiente manera:

1. El usuario utiliza una determinada billetera EOS para registrar una cuenta (como aaaabbbbcccc), y la billetera indica que el registro se realizó correctamente, pero debido a la falta de juicio estricto, la esencia de esta cuenta es que el registro no ha sido exitoso

2. El usuario lleva inmediatamente esta cuenta a un intercambio para retiro de efectivo

3. Si alguna parte de este proceso es maliciosa, puede volver a registrar la cuenta aaaabbbbcccc, lo que hace que el usuario retire efectivo a una cuenta que ya no es suya.

Sugerencia de defensa: sondear los nodos, devolver la información del bloque irreversible y luego solicitar el éxito. El proceso técnico específico es el siguiente:

1. Después de push_transaction, obtendrá trx_id

2. Solicitud de interfaz POST /v1/history/get_transaction

3. Si block_num en el parámetro de retorno es menor o igual que last_irreversible_block, es irreversible[2018/7/16]