- Zcash ได้แก้ไขช่องโหว่ร้ายแรงที่สำคัญในซอฟต์แวร์ของโหนด ซึ่งอาจทำให้มีการเปิดเผยทรัพย์สินมูลค่าหลายล้านดอลลาร์เป็น ZEC ได้
- ข้อบกพร่องดังกล่าวกระทบการตรวจสอบการพิสูจน์สำหรับธุรกรรมที่เชื่อมโยงกับพูลแบบปกปิด Sprout ที่ถูกเลิกใช้แล้ว แม้จะไม่มีรายงานการถูกโจมติเข้ามาใช้งานจริงก็ตาม
Zcash ได้อัปแพตช์ช่องโหว่ร้ายแรงของซอฟต์แวร์ ซึ่งภายใต้สถานการณ์ที่ผิดพลาด อาจทำให้ผู้โจมตีสามารถดึง ZEC จำนวนมากออกไปจากส่วนเก่าของเครือข่ายได้
ปัญหานี้อยู่ใน zcashd ซึ่งเป็นซอฟต์แวร์ของโหนด และมุ่งเน้นไปที่ธุรกรรมที่เกี่ยวข้องกับพูลแบบปกปิด Sprout ในยุคเดิม
ตามคำชี้แจง การโหนดต่างๆ จะข้ามการตรวจสอบการพิสูจน์ในกรณีเหล่านั้น นี่คือประเภทของบั๊กที่ได้รับความสนใจอย่างรวดเร็วในระบบที่เน้นความเป็นส่วนตัว เพราะการตรวจสอบการพิสูจน์ไม่ใช่รายละเอียดเสริม แต่มันเป็นส่วนหนึ่งของกลไกหลักที่ทำให้การโอนที่ไม่ถูกต้องไม่ถูกยอมรับตั้งแต่แรก
บั๊กในพูลเก่า แต่ยังคงเป็นความเสี่ยงที่แท้จริง
ช่องโหว่ดังกล่าวถูกเปิดเผยโดย Alex “Scalar” Sol เมื่อวันที่ 23 มีนาคม โดยรายงานสาธารณะที่เผยแพร่จะออกในวันอังคาร พื้นที่ที่ได้รับผลกระทบไม่ได้เป็นเส้นทางความเป็นส่วนตัวหลักที่ผู้ใช้ส่วนใหญ่คิดถึงในปัจจุบัน แต่เป็นพูล Sprout ที่เก่ากว่า ซึ่งถูกเลิกใช้ไปแล้ว ถึงอย่างนั้น “เลิกใช้” ก็ไม่ได้แปลว่าไม่เป็นอันตราย หากยังมีเงินคงอยู่ที่นั่น พื้นที่สำหรับการโจมตีก็ยังคงมีความเกี่ยวข้องอยู่
สิ่งที่ทำให้ช่องโหว่นี้อ่อนไหวเป็นพิเศษคือความเป็นไปได้ที่ธุรกรรมที่ไม่ถูกต้องอาจหลุดรอดขั้นตอนการตรวจสอบความถูกต้องที่สำคัญได้ ในเชิงปฏิบัติ นั่นอาจเปิดประตูให้การดึงเงินออกจากพูลเกิดขึ้น โดยที่เครือข่ายไม่สามารถจับปัญหาได้ในจุดที่ควรจะจับ
Zcash บอกว่ายังคงปลอดภัยสำหรับเงินทุน
ตอนนี้ สิ่งสำคัญคือเรื่องนี้ บั๊กถูกแก้ไขก่อนที่จะมีการใช้ประโยชน์ที่เป็นที่รู้จัก และคำชี้แจงระบุว่าเงินของผู้ใช้ทุกส่วนยังคงปลอดภัย
ซึ่งน่าจะช่วยให้ความตื่นตระหนกในทันทีลดลง แม้ว่าจะไม่ลบล้างบทเรียนที่กว้างกว่า ส่วนประกอบเดิมๆ ในระบบคริปโตมีแนวโน้มที่จะยังคงมีความสำคัญเชิงเศรษฐกิจต่อไปได้อีกนานหลังจากที่ระบบนิเวศ “เดินหน้าทางความคิด” ออกจากสิ่งเหล่านั้นไปแล้ว พูลเก่า ตรรกะที่ถูกแทนที่แล้ว เส้นทางโค้ดที่ถูกเลิกใช้ สิ่งพวกนี้ยังคงมีความหมายเมื่อมีสินทรัพย์จริงยังผูกติดอยู่
สำหรับ Zcash เหตุการณ์นี้ไม่ได้เกี่ยวกับความเสียหายที่มองเห็นได้มากนัก แต่มุ่งไปที่คุณค่าของการตรวจพบความล้มเหลวด้านการตรวจสอบความถูกต้องที่ร้ายแรง ก่อนที่มันจะกลายเป็นความล้มเหลวนั้น ในความปลอดภัยของบล็อกเชน บางครั้งเรื่องที่สำคัญที่สุดคือการเอ็กซ์พลอยต์ที่ไม่เคยได้มีโอกาสเกิดขึ้น
btc.bar.articles
Slow Mist ตรวจพบการโจมตีที่ใช้ประโยชน์จาก EIP-7702: กลุ่มสำรอง QNT สูญเสีย 1,988.5 QNT (~$54.93M ใน ETH)
ประกาศข่าว Gate วันที่ 29 เมษายน — Slow Mist ตรวจพบธุรกรรมที่เป็นอันตรายซึ่งใช้ประโยชน์จากช่องโหว่ในบัญชี EIP-7702 ส่งผลให้สูญเสีย 1,988.5 QNT (ประมาณ 54.93 ETH) จากกลุ่มสำรอง QNT
ช่องโหว่นี้เกิดจากข้อบกพร่องเชิงโครงสร้างในการควบคุมการเข้าถึงของกลุ่มสำรอง
GateNews34 นาที ที่แล้ว
CertiK รายงาน: AML ปรับ 900 ล้านดอลลาร์สหรัฐ, การบังคับใช้กฎหมายของ SEC ด้านคริปโทลดลง 97% รายปี
ตามรายงานที่ CertiK สถาบันตรวจสอบความปลอดภัยบนบล็อกเชนเผยแพร่เมื่อวันที่ 28 เมษายน การบังคับใช้การต่อต้านการฟอกเงิน (AML) ได้เข้ามาแทนที่การพิจารณาผิดด้านหลักทรัพย์ โดยกลายเป็นภัยคุกคามด้านกำกับดูแลอันดับแรกที่บริษัทคริปโตกำลังเผชิญ รายงานระบุว่า กระทรวงยุติธรรมสหรัฐฯ และเครือข่ายบังคับใช้การก่ออาชญากรรมทางการเงิน (FinCEN) ในช่วงครึ่งแรกของปี 2025 ออกค่าปรับที่เกี่ยวข้องกับ AML รวม 900 ล้านดอลลาร์สหรัฐ; ในช่วงเวลาเดียวกัน ค่าปรับของคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) สำหรับสินทรัพย์คริปโตลดลงปีต่อปี 97%
MarketWhisper41 นาที ที่แล้ว
อินเดีย I4C ออกคำเตือน: กรณีหลอกลวงลิงก์ยืนยันปลอมของ Trust Wallet เพิ่มขึ้นอย่างรวดเร็ว
ตามคำเตือนอย่างเป็นทางการที่เผยแพร่โดยศูนย์ประสานงานอาชญากรรมทางไซเบอร์ของอินเดีย (I4C) เมื่อวันที่ 28 เมษายน กรณีหลอกลวง “ขโมยกระเป๋า” สำหรับผู้ใช้ Trust Wallet ยังคงเพิ่มขึ้นอย่างต่อเนื่อง โดยผู้โจมตีหลอกล่อผู้ใช้ให้มอบสิทธิ์กระเป๋าไปยังสัญญาอัจฉริยะที่เป็นอันตราย ผ่านขั้นตอนปลอมแปลง “การตรวจสอบสินทรัพย์เข้ารหัส” และเงินจะถูกโอนออกทันทีด้วยสคริปต์อัตโนมัติ I4C ระบุว่า แนวโน้มการเติบโตของแผนการหลอกลวงดังกล่าวมาจากจำนวนข้อร้องเรียนที่เพิ่มขึ้นอย่างรวดเร็วซึ่งได้รับจากเว็บไซต์ทางเข้าในการรายงานอาชญากรรมทางไซเบอร์ของประเทศ
MarketWhisper1 ชั่วโมง ที่แล้ว
ธนาคารกลางฮ่องกงเตือน: ผู้ผู้ออกเหรียญมีเสถียรภาพที่ไม่ได้รับใบอนุญาต HKDAP และ HSBC ของธนาคารกลางฮ่องกง
สำนักงานการเงินแห่งฮ่องกง (HKMA) เมื่อวันที่ 28 เมษายน ได้เผยแพร่ประกาศอย่างเป็นทางการ โดยระบุว่ามีโทเค็นที่ใช้ “HKDAP” หรือ “HSBC” เป็นรหัสในตลาด โทเค็นดังกล่าวไม่ได้ออกโดยผู้ออกเหรียญสเตเบิลที่ได้รับใบอนุญาต และไม่มีความเกี่ยวข้องใด ๆ กับผู้ออกที่ได้รับใบอนุญาตที่เกี่ยวข้อง ตามประกาศของ HKMA ในวันเดียวกัน ผู้ให้ออกเหรียญสเตเบิลที่ได้รับใบอนุญาต 2 ราย—Dingdian Financial Technology Co., Limited และ Hongkong and Shanghai Banking Corporation Limited—ต่างก็ได้ยืนยันว่าไม่ได้ออกเหรียญสเตเบิลภายใต้การกำกับดูแลใด ๆ
MarketWhisper1 ชั่วโมง ที่แล้ว
การรั่วไหลของข้อมูล Polymarket เผยข้อมูลกว่า 300K รายการ ขณะที่ผู้ไม่หวังดีปล่อยเครื่องมือสำหรับการโจมตี
ข้อความข่าว Gate News ประจำวันที่ 29 เมษายน — ดูเหมือนว่าแพลตฟอร์มตลาดคาดการณ์แบบกระจายอำนาจ Polymarket จะประสบเหตุข้อมูลรั่วไหล โดยผู้ไม่หวังดีได้เผยแพร่ข้อมูลมากกว่า 300,000 รายการ พร้อมเครื่องมือสำหรับการโจมตี บนฟอรั่มอาชญากรไซเบอร์ที่เป็นที่รู้จัก โดยตามรายงาน ผู้โจมตีได้ใช้ประโยชน์จากปลายทาง API ที่ยังไม่เปิดเผย
GateNews2 ชั่วโมง ที่แล้ว
กล่าวหาว่า Ben Pasternak ผู้ก่อตั้ง Believe เรียกเก็บเงินค่าธรรมเนียม $54M ผ่านกระบวนการย้ายระบบ Launchcoin
ข้อความจาก Gate News วันที่ 29 เมษายน — คดีฟ้องแบบกลุ่มกล่าวหาว่า เบน ปาสเตอร์แน็ก ผู้ก่อตั้ง Believe ดึงเงินค่าธรรมเนียม $54 ล้าน ผ่านกระบวนการย้ายระบบ Launchcoin ตามรายงานของ ChainCatcher คดีดังกล่าวอ้างว่ากระบวนการย้ายระบบนี้มีช่วงเวลาการให้หน้าต่างเป็นเวลา 2 สัปดาห์ ซึ่งส่งผลให้ผู้ถือโทเค็นถูกลดสัดส่วน
GateNews2 ชั่วโมง ที่แล้ว
