[研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高]4月16日消息,在周杰伦NFT被盗之后,研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准,结果发现欺诈者可以引诱用户点击恶意NFT的链接,然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户,该函数可以授权任何人控制NFT,其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。
一旦该函数完成授权,攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。(TheRegister)
其它快讯:
研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高:4月16日消息,在周杰伦NFT被盗之后,研究人员RomanZaikin、DiklaBarda和OdedVanunu开始调查NFT常用的EIP-721标准,结果发现欺诈者可以引诱用户点击恶意NFT的链接,然后通过该标准内一个名为setApprovalForAll的函数控制受害者账户,该函数可以授权任何人控制NFT,其设计初衷是为了让Rarible和OpenSea等第三方能够代表用户控制NFT。
一旦该函数完成授权,攻击者就可以通过使用合约上的transferFrom函数将受害者名下的所有NFT转移到自己的账户。研究人员表示,该功能在设计上非常危险,用户并不总是清楚他们通过签署交易给予了哪些权限。大多数时候,受害者认为这些仅为常规交易。(TheRegister)[2022/4/16 14:28:11]
门罗币研究人员质疑CipherTrace门罗币追踪工具有效性:对于CipherTrace声称开发出可追踪门罗币的工具一事,门罗币社区的许多人怀疑该工具是否像CipherTrace宣称的那样有效。门罗币研究人员Sarang Noether表示,在他看来,CipherTrace并没有提供“实质性的细节”来证明该工具的有效性或范围:“如果没有这些细节或证据,就不可能评估这个工具能做什么,或者它做得有多好。作为一名数学家和密码学家,我更喜欢把我的技术结论建立在数据上,而不是建立在新闻发布或未经证实的声明上。”
CipherTrace无法从基本钱包地址和交易数据中获取用户身份,那么就无法识别比特币用户。似乎该工具在很大程度上依赖于来自交易所和其他来源的链外数据。将个人数据与门罗币地址分开的用户可以获得合理的隐私。也就是说,政府和监管者可以自由使用此工具并得出自己的结论。而CipherTrace称这个工具已经在几次调查中使用过。
此前消息,CipherTrace声称已开发出可追踪门罗币交易的新工具。首席执行官Dave Jevans表示,此工具已开发了一年多,美国国土安全部将使用它来追踪门罗币交易,以支持犯罪调查。(Crypto Briefing)[2020/9/3]
安全研究人员披露Ledger签名安全漏洞 漏洞或导致用户资金被盗:安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出,该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1.打开莱特币应用程序;2.获取比特币隔离见证地址;3.根据地址查看UTXOs;4.发起比特币交易并发送给Ledger设备要求签名;5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞,随后,Ledger更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019年4月份,Monokh再次联系Ledger要求更新应用程序,但未得到反馈。今年5月份,Monokh将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复,但未得到回应,Ledger也没有修复或披露相关漏洞。[2020/8/5]
郑重声明: 研究人员:EIP-721标准内“setApprovalForAll”函数风险性极高版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。