📢 股票资产上链,全球首发尽在 Gate!
Gate 携手 @xStocksFi 与 @BackedFi,正式上线全球首个股票衍生品市场,开启链上股票交易新纪元!
支持$TSLA, $NVDA, $CRCL, $AAPL 等热门股票:
💥 可加杠杆、做多做空
💰 全USDT计价,轻松管理风险收益
🔒 实物资产 100% 抵押
🔁 多链流转自由无阻
🌐 RWA × Web3,全新交互方式
CeFi 与 TradFi 的边界,已经彻底打破。
了解详情:https://www.gate.com/announcements/article/45926
#xStocksOnGate#
Safe前端漏洞成焦点:多签钱包黑客事件新发现
Bybit黑客事件调查报告发布:Safe官方前端成焦点
近日,遭遇重大黑客攻击的某交易平台和多签钱包Safe公布了事故调查报告。这份报告推翻了先前的初步判断,将矛头指向Safe官方前端。
最初,业内普遍认为该交易平台的以太坊冷钱包因恶意合约升级被黑客组织盗取。平台使用Safe多签钱包结合硬件冷钱包,设置了3/3的签名门槛。黑客提前部署了带后门的恶意合约,在日常操作中替换正常交易请求。
然而,这一解释存在疑点:三个签名者位于不同地点,使用不同设备和网络,集体篡改难度极大。该交易平台CEO回忆称,他是最后一个签名者,使用Ledger设备时出现问题但未察觉,签名时没显示接收地址。
最新调查结果显示,黑客组织将恶意代码注入Safe的前端,可能是Safe的云服务账户或API密钥泄露所致。由于三个签名者都使用Safe官方前端网页,导致签名信息被篡改后资金被盗。
有观点质疑,为何当天只有该交易平台遭黑客攻击?推测是黑客针对性攻击该平台的以太坊多签冷钱包,意在一次性盗取大额资金。
这一事件揭示了Web3智能合约与Web2网站前端结合的潜在风险。Safe智能合约本身未出问题,但其部署在中心化云服务上的前端成为攻击突破口。这凸显了去中心化世界中,任何中心化环节都可能成为单点风险。
业内专家建议项目方采取以下措施:
对普通用户而言,建议尽量避免使用中心化交易平台,做好资金隔离。专家强调,我们应该相信技术,而非"人"或"平台"。
某知名交易所创始人对Safe的调查报告提出质疑,指出报告语言模糊,并提出五大疑问:
尽管外部安全审查未发现Safe智能合约或源代码存在漏洞,但有用户发现Safe在GitHub上的最新代码更新中出现了一些有趣的前端更改。
目前,这起黑客事件的调查仍在进行中,相关细节有待进一步澄清。业内人士将持续关注事态发展,以期获得更多信息。