比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 區塊鏈 > Info

慢霧:Grafana存在賬戶被接管和認證繞過漏洞

Author:

Block

Time:2023/6/25 21:58:31

金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。

慢霧:Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息,6 月 7 日,Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下:

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約,FlashLoanProvider 合約提供閃電貸服務,用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金,Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除,流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作,FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者,隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中,向 WBNB Vault 提供流動性,由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者,因此流動性余額少于預期,則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸,然后從 WBNB Vault 中移除流動性,此時由于 WBNB Vault 中的流動性已恢復正常,因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約,耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

慢霧:AToken錢包疑似遭受攻擊 用戶反饋錢包中資產被盜:據慢霧區情報,近期 AToken 錢包(atoken.com)疑似遭受到攻擊,用戶在使用 AToken 錢包后,幣被偷偷轉移走。目前已經有較多的用戶反饋錢包中的資產被盜。AToken 錢包官方推特在2021年12月20日發布了停止運營的聲明。官方 TG 頻道中也有多位用戶反饋使用 AToken 錢包資產被盜了,但是并沒有得到 AToken 團隊的回復和處理。

如果有使用 AToken 錢包的用戶請及時轉移資產到安全的錢包中。具體可以參考如下操作:

1. 立即將 AToken 錢包中的相關的資產轉移到新的錢包中。

2. 廢棄導入 AToken 或者使用 AToken 生成的助記詞或私鑰的錢包。

3. 參考慢霧安全團隊梳理的數字資產安全解決方案,對數字資產進行妥善的管理。

4. 留存相應有問題的 AToken 錢包 APP 的安裝包,用于后續可能需要的取證等操作。

5. 如果資產已經被盜,可以先梳理被盜事件的時間線,以及黑客的相關地址 MistTrack 可以協助挽回可能的一線希望。[2022/2/9 9:39:46]

動態 | 慢霧:2020年加密貨幣勒索蠕蟲已勒索到 8 筆比特幣:慢霧科技反洗錢(AML)系統監測:世界最早的知名加密貨幣勒索蠕蟲 WannaCry 還在網絡空間中茍延殘喘,通過對其三個傳播版本的行為分析,其中兩個最后一次勒索收到的比特幣分別是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年僅發生一次,另外一個 2020 還在活躍,2020 開始已經勒索收到 8 筆比特幣支付,但額度都很低 0.0001-0.0002 枚之間。這三個傳播版本第一次發生的比特幣收益都是在 2017-05-12,總收益比特幣 54.43334953 枚。雖然收益很少,但 WannaCry 可以被認為是加密貨幣歷史上勒索作惡的鼻主蠕蟲,其傳播核心是 2017-04-13 NSA 方程式組織被 ShdowBrokers(影子經紀人) 泄露第三批網絡軍火里的“永恒之藍”(EternalBlue)漏洞,其成功的全球影響力且匿名性為之后的一系列勒索蠕蟲(如 GandCrab)帶來了巨大促進。[2020/2/23]

Gemini在英國推出Staking Pro服務

6月23日消息,加密交易所Gemini宣布在英國推出Staking Pro服務。Staking Pro是為擁有32枚以上ETH的用戶構建的產品。符合條件的用戶現在可以在以太坊上啟動專用驗證器.

Block Chain:2023/6/23 21:55:35
Otherside:KodaPendant實物申領正式啟動,美東時間7月6日截至

金色財經報道,Yuga Labs元宇宙項目Otherside在官推宣布與奢侈品巨頭Gucci合作推出限量版KodaPendant實物項鏈申領已正式啟動,本次申領將于美國東部時間2023年7月6日中午12點結束.

Block Chain:2023/6/22 21:53:52
歐洲央行Fabio Panetta:加密貨幣已成為投機資產,以及規避資本管制的手段

金色財經報道,歐洲中央銀行(ECB)董事會成員Fabio Panetta在第22屆國際清算銀行年會上關于加密貨幣未來的小組上表示,加密貨幣的核心承諾是用技術取代信任.

Block Chain:2023/6/25 21:58:23
Gemini將新加坡辦事處轉換為亞太地區業務樞紐

6月20日消息,據官方消息,加密交易所Gemini宣布正在亞太地區擴張,其新加坡辦事處將作為更大的亞太地區業務樞紐。Gemini計劃在接下來12個月將其新加坡的員工人數增加到100多人,此外,Gemini將在印度古爾...

Block Chain:2023/6/20 21:50:26
Polygon推出由ChatGPT提供支持的Polygon Copilot

6月21日消息,以太坊擴展解決方案Polygon推出人工智能驅動的界面Polygon Copilot,只需詢問即可解鎖交互世界.

Block Chain:2023/6/22 21:52:54
Dis Token即將上線Lbank

據官方消息,代幣Dis Token即將上線Lbank交易所,于2023年6月26日17:00(UTC+8)開啟充值,于2023年6月27日17:00(UTC+8)開啟DIS/USDT交易對.

Block Chain:2023/6/25 21:59:11
Adventure Gold獲DWF Labs數百萬美元投資承諾

6月22日消息,Adventure Gold (AGLD)發文表示,加密做市商DWF Labs已承諾將支持AGLD生態系統,即將推出Loot鏈,并承諾購買數百萬美元的AGLD Token.

Block Chain:2023/6/22 21:54:56
CleanSpark以930萬美元收購兩個比特幣礦場

金色財經報道,比特幣挖礦公司CleanSpark將以930萬美元收購位于喬治亞州道爾頓的兩個比特幣挖礦園區。 這兩個采礦設施將容納超過6000臺比特幣礦機,包括最新一代Antminer S19 XP和S19j Pro...

Block Chain:2023/6/21 21:52:35
Binance流動性挖礦新增支持SUI/USDT、SUI/BTC、FLOKI/USDT流動性池

金色財經報道,Binance流動性挖礦現已開放三個新的流動性池:SUI/USDT、SUI/BTC、FLOKI/USDT.

Block Chain:2023/6/21 21:51:14
Yuga與Zak合作出版第一本關于加密朋克的書

金色財經報道,Yuga Labs今天宣布與Virgil Abloh的ICONS背后的知名設計事務所Zak Group合作,在一個定義目錄中創建CryptoPunks的官方文獻.

Block Chain:2023/6/24 21:56:38
瑞士金融服務公司XEROF推出價值1億美元的比特幣主動托管證書

金色財經報道,加密資產金融服務公司XEROF宣布,與GenTwo一起推出了許可和監管的比特幣支持的主動管理證書 (AMC)?。證書所代表的比特幣由瑞士銀行安全冷藏保存,XEROF為證書的日常流動性提供其加密貨幣經紀交...

Block Chain:2023/6/22 21:53:44
陳茂波:如何將虛擬資產服務提供者納入合適規管是特區政府的重點所在

金色財經報道,香港財政司司長陳茂波接受《大公報》最新訪問時提到虛擬資產發展,特區政府去年發表有關虛擬資產在港發展的政策宣言,闡明政府為在香港發展具活力的虛擬資產行業和生態系統而訂定的政策立場和方針.

Block Chain:2023/6/23 21:56:03
ads