安全团队：谨防多重签名假充值

[安全团队：谨防多重签名假充值]据慢雾区情报，近期有黑客团伙利用 m-of-n 多重签名机制对交易所进行假充值攻击。

慢雾安全团队分析发现，攻击者通常使用 2-of-3 多签地址，其中 1 个地址为攻击者在交易所的充值地址（假设为 A），2 个地址为攻击者控制私钥的地址（假设为 B、C），然后发起一笔以这 3 个地址构成的多签做为交易输出(vout)的交易，此时攻击者在交易所的充值地址 A 虽然收到资金，但是由于花费这笔资金至少需要 2 个地址的签名，攻击者可利用自己控制的 B、C 地址将充值资金转出。

慢雾安全团队建议交易所，及时对 BTC/LTC/DOGE 等基于 UTXO 账号模型的代币充值流程进行审查，确保已对交易类型进行正确的判别，谨防多重签名假充值。

其它快讯：

安全团队：某质押挖矿项目遭受攻击，损失约为11万美元:7月12日消息，据成都链安安全社区成员提供的情报显示，质押挖矿项目（0xa792B90067bd73b048AF12bC2a6E1978FE34BBdb）遭受黑客攻击。经成都链安技术团队分析，攻击者利用合约中updateBalance函数的加法溢出漏洞，修改攻击账户的质押量，最终利用超高的质押量领取出了该合约几乎全部的资产。最终，攻击者总计获利约为11万美元，目前获利资金一半已进入Tornado.Cash，另一半被转至0xbfa16fB56B50ac3A69922447BBfC89A59b8B350A地址。成都链安“链必追”将会对涉案地址进行持续监控。[2022/7/12 2:07:05]

安全团队：WomenUnite NFT项目方给自己mint250个NFT后又立刻停止合约:4月10日消息，BlockSec告警系统于4月10日下午21点57分发现WomenUnite NFT合约重新开启，开启后项目方给自己mint了250个NFT后又立刻停止合约，目前项目方拥有1569个NFT占全部数量的26.9%。[2022/4/10 14:15:19]

安全团队：MAYC#8662在BAYC Discord遭遇的攻击中被盗:4月1日消息，在推特上表示，BAYC Discord遭遇攻击，Mutant Ape Yacht Club（变异猿，MAYC） #8662已被盗。此前消息，无聊猿BAYC的Discord遭遇黑客攻击，团队提醒用户不要点击链接；周杰伦遭遇钓鱼攻击，其持有的1枚BAYC、1枚MAYC和2枚Doodles NFT均被盗。[2022/4/1 14:31:04]

郑重声明： 安全团队：谨防多重签名假充值版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。