微慑信息网

3行代码窃取4000万元!有文化的黑客太可怕了!

最新消息,渡鸦币出现安全漏洞问题,攻击者使用漏洞成功窃取4000 万元人民币!不仅如此,此次漏洞中,黑客仅用3行代码便轻易得逞,不得不惊叹:这样的骚操作到底是如何进行的?

 

首先,我先介绍一下渡鸦币(Ravencoin,RVN),渡鸦币是比较典型的代币 (AltCoin,山寨币) ,使用 KAWPOW 挖掘算法略微小众但也倒是吸引部分矿工。该币种发行总量为 210 亿枚,按其社区说法该币种基于比特币代码分叉,但改进后支持在区块链上创建发布令牌。

 

3行代码窃取4000万元!有文化的黑客太可怕了!

 
事情还要从GitHub免费修漏洞说起
 
渡鸦币和其他代币一样相关代码都是开源并托管在 GitHub 上的,正常情况下来说社区可以审查代码并参与改进。
2020年1月16日,有个名为 @WindowsCryptoDev 的账号向渡鸦币项目源代码提交看起来是要修复某个漏洞的。
 
在 GitHub 上每天有无数开发者检查各种项目添加各种代码,当然也有热心开发者帮助其他项目进行调整和优化。实际被提交的代码也仅仅只有3行而已,至少从表明上看这些代码人畜无害,所以项目核心开发者审查通过合并。代码合并后也没有发生什么意外的事情。
 

3行代码窃取4000万元!有文化的黑客太可怕了!

黑客提交的代码截图:
代码合并六个月后渡鸦社区慌了!
 
本月初渡鸦币使用的某个服务的开发商发现代码存在异常,这个开发商经过排查确认项目代码存在逻辑上的漏洞。
然而这个逻辑漏洞是非常致命的,简单来说当时提交的代码其实也是个逻辑漏洞,可实现任意增加 RVN 出产数量。
由于当时项目核心开发者并未尽职审查代码导致这个逻辑漏洞被合并到项目中,随后黑客开始潜伏直到五月活动。
 
到2020年5月份时,当时提交逻辑漏洞的黑客觉得差不多时机已到,随后他利用自己制造的漏洞疯狂增发RVN币前文我们提到过渡鸦币发行总量为 210 亿枚,由于漏洞黑客实际增发约 3.15 亿枚,而这 3.15 亿渡鸦币也是有效的。
 
黑客这一系列的骚操作为什么这么牛?我来重点说一下:
 
1.小操作、大影响。事件开始,黑客使用的这个账号是个新账号仅仅只有一次提交记录,并且只是3行代码,而且没有任何项目也没有在其他项目里提交过代码。
 
2. 增值币真实可用。尽管有人认为这种增发的币为虚假的,但其实他们都是在渡鸦币区块链上而且全部都是被区块承认的币。所以黑客才能将这些币直接转到交易所卖掉。
 
3.追查无力。统计显示这名黑客共增发 3.15 亿枚渡鸦币并将其转到交易所换成其他加密货币或法币,现在想要追查也已经没戏。这些增值的渡鸦币价值人民币约 3987 万元,而渡鸦币社区只能放弃追回这部分币。
 
那么,是谁为这一事件买单的呢?
 
事件中并没有任何人的账户和资产被盗,最后都是所有渡鸦币的投资者们背负这一切,毕竟渡鸦币的币值是投资者支撑起来的,所以黑客薅走这高达 4000 万元人民币的羊毛,最后还是要均摊到所有投资者身上。
 
华盟君只想说,遇上这么厉害的黑客们,这些渡鸦币的投资者们只能吃哑巴亏,也真的是倒了霉了。

3行代码窃取4000万元!有文化的黑客太可怕了!

文章参考内容来源:蓝点网

原文始发于微信公众号(黑白之道):3行代码窃取4000万元!有文化的黑客太可怕了!

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 3行代码窃取4000万元!有文化的黑客太可怕了!

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册