亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

當(dāng)前位置:主頁(yè) > 區(qū)塊鏈 > 資訊 > 白嫖CZ解析

黑客教你如何用0.01 BNB“白嫖”CZ

2025-03-31 16:37:51 | 來(lái)源: | 作者:佚名
我們發(fā)現(xiàn)可以在 ReachMe.io 低成本和任意用戶 Say Hi 的漏洞,于是我們第一時(shí)間聯(lián)系了項(xiàng)目方團(tuán)隊(duì),并提供漏洞驗(yàn)證的詳情,

黑客教你如何用0.01 BNB“白嫖”CZ

背景

昨天,當(dāng)我還在整理APT 攻擊相關(guān)的素材時(shí),山哥(@im23pds) 突然激動(dòng)地來(lái)到我的工位旁邊:“Thinking,我發(fā)現(xiàn)了一個(gè)有趣的項(xiàng)目,CZ 在高頻使用,我們或許可以 0 成本和 CZ Say Hi。”于是我們迅速擬定了幾個(gè)可能的漏洞點(diǎn):

  • 劫持CZ 在 ReachMe 的賬號(hào);
  • 更改CZ 在 ReachMe 的設(shè)置;
  • 不花錢給CZ 發(fā)消息,繞過(guò)給他發(fā)消息要花費(fèi) 1 BNB 的限制。

大約在10 分鐘后,我們發(fā)現(xiàn)可以在 ReachMe.io 低成本和任意用戶 Say Hi 的漏洞,于是我們第一時(shí)間聯(lián)系了項(xiàng)目方團(tuán)隊(duì),并提供漏洞驗(yàn)證的詳情。項(xiàng)目團(tuán)隊(duì)也在第一時(shí)間就迅速修復(fù)了該漏洞,同時(shí)聯(lián)系我們進(jìn)行復(fù)測(cè)。為 ReachMe 團(tuán)隊(duì)認(rèn)真嚴(yán)謹(jǐn)對(duì)待安全問(wèn)題的態(tài)度點(diǎn)贊!

此外,慢霧安全團(tuán)隊(duì)很榮幸獲得了CZ 和 ReachMe 項(xiàng)目方團(tuán)隊(duì)的致謝。

發(fā)現(xiàn)過(guò)程

ReachMe.io 是一個(gè)基于 BNB Chain 的付費(fèi)聊天平臺(tái),旨在通過(guò)加密貨幣支付機(jī)制連接 KOL(關(guān)鍵意見(jiàn)領(lǐng)袖)與粉絲。用戶向 KOL 發(fā)送私信需支付 BNB ,KOL 可獲得 90% 費(fèi)用(平臺(tái)抽成 10%);若 KOL 5 天內(nèi)未回復(fù),用戶可獲 50% 退款。

2025 年 3 月 27 日,幣安創(chuàng)始人 CZ 將其 X 賬號(hào)簡(jiǎn)介改為:“DM: https://reachme.io/@cz_binance (fees go to charity)”,即“在 ReachMe 上 DM 我,費(fèi)用將用于慈善”。

我們可以看到,和CZ Say Hi 的成本是 1 枚 BNB,于是我們?cè)O(shè)想了一些方案,并進(jìn)行嘗試,看如何繞過(guò) 1 枚 BNB 的限制來(lái)和 CZ Say Hi。

和山哥一陣研究后,我們發(fā)現(xiàn)ReachMe 在給任意 KOL 發(fā)送消息的時(shí)候會(huì)通過(guò)“/api/kol/message”接口生成消息的概要信息,其中包含“_id”字段,這個(gè)字段是在發(fā)消息的時(shí)候附帶到鏈上合約Function: deposit(string _identifier,address _kolAddress)使用,對(duì)應(yīng)的是_identifier字段。

并且給KOL 發(fā)送消息附帶的 BNB 其實(shí)就是調(diào)用合約Function: deposit附帶的BNB 數(shù)量,于是我們構(gòu)造了一筆交易,將“Hi CZ”的消息對(duì)應(yīng)的“_identifier”以及 CZ 的地址,并附帶 0.01 BNB(最低僅需 0.001 BNB)發(fā)送給合約。

由于ReachMe 在設(shè)計(jì)之初并沒(méi)有將 KOL 預(yù)設(shè)的發(fā)消息成本放在合約中進(jìn)行檢測(cè)(或許是為了方便KOL 更好地隨時(shí)調(diào)整消息的價(jià)格并且節(jié)省 Gas 費(fèi)?),因此可以通過(guò)修改前端代碼,修改網(wǎng)絡(luò)響應(yīng)包或者直接與合約進(jìn)行交互來(lái)繞過(guò) 1 BNB 的限制。這是由于服務(wù)端在檢索鏈上的交易時(shí)也遺漏了消息價(jià)格與鏈上交易的 BNB 數(shù)量的檢查。

于是我們用了大約10 分鐘,成功繞過(guò)了和 CZ 對(duì)話要花費(fèi) 1 BNB 的規(guī)則,僅花費(fèi)了 0.01 BNB 就可以和 CZ Say Hi。

另外,值得注意的是,其實(shí)還有更深一步的利用,如:給CZ 發(fā)有趣的消息,進(jìn)行魚叉釣魚?鑒于 CZ 本人影響較大,后面就放棄了這部分測(cè)試,大家也多注意安全,謹(jǐn)防釣魚。

總結(jié)

這類結(jié)合中心化與去中心化的產(chǎn)品設(shè)計(jì),經(jīng)常會(huì)出現(xiàn)鏈上和鏈下的安全檢查不一致的情況。因此,攻擊者可以通過(guò)分析鏈上鏈下的交互流程,繞過(guò)某些檢查限制。慢霧安全團(tuán)隊(duì)建議項(xiàng)目方盡可能在鏈上和鏈下的代碼中同步必要的安全檢查項(xiàng),避免被繞過(guò)的可能。同時(shí),建議聘請(qǐng)專業(yè)的安全團(tuán)隊(duì)進(jìn)行安全審計(jì),以發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)并加以防范。

到此這篇關(guān)于黑客教你如何用0.01 BNB“白嫖”CZ的文章就介紹到這了,更多相關(guān)白嫖CZ解析內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持腳本之家!

聲明:文章內(nèi)容不代表本站觀點(diǎn)及立場(chǎng),不構(gòu)成本平臺(tái)任何投資建議。本文內(nèi)容僅供參考,風(fēng)險(xiǎn)自擔(dān)!
Tag:黑客  

你可能感興趣的文章

幣圈快訊

  • Bithumb及其他韓國(guó)DAXA成員將集體下架ALEX代幣

    2025-07-09 14:26
    ChainCatcher消息,據(jù)官方公告,韓國(guó)加密交易所Bithumb宣布,韓國(guó)數(shù)字資產(chǎn)交易所協(xié)會(huì)(DAXA)成員計(jì)劃終止對(duì)ALEX的交易支持。 Bithumb交易所公告顯示,將于8月11日停止ALEX交易,9月11日關(guān)閉提現(xiàn)功能。交易所表示,盡管項(xiàng)目方提交說(shuō)明材料,但未能解決交易風(fēng)險(xiǎn)警示問(wèn)題,經(jīng)評(píng)估認(rèn)為該代幣不符合持續(xù)交易標(biāo)準(zhǔn)。

  • Bithumb及其他韓國(guó)DAXA成員將下架ALEX代幣

    2025-07-09 14:23
    金色財(cái)經(jīng)報(bào)道,據(jù)官方公告,韓國(guó)加密交易所Bithumb宣布,韓國(guó)數(shù)字資產(chǎn)交易所協(xié)會(huì)(DAXA)成員計(jì)劃終止對(duì)ALEX的交易支持,Bithumb預(yù)計(jì)于8月11日終止對(duì)ALEX的交易支持,9月11日終止對(duì)ALEX的提現(xiàn)支持。Bithumb表示,盡管項(xiàng)目方提交了相關(guān)說(shuō)明材料,但未能解決交易風(fēng)險(xiǎn)警示的原因,經(jīng)綜合評(píng)估項(xiàng)目實(shí)質(zhì)性、可持續(xù)性及安全相關(guān)因素后,認(rèn)為該代幣不符合繼續(xù)交易支持的標(biāo)準(zhǔn)。

  • 歐洲上市公司TheBlockchainGroup接近完成美國(guó)OTCID上市流程,預(yù)計(jì)2至4周內(nèi)完成

    2025-07-09 14:21
    ChainCatcher消息,據(jù)TheBlockchainGroup披露,該公司正處于美國(guó)OTCID市場(chǎng)上市流程的最后階段。作為歐洲首家比特幣財(cái)資公司,區(qū)塊鏈集團(tuán)預(yù)計(jì)上市流程將在2至4周內(nèi)完成,具體取決于監(jiān)管程序和OTCID的內(nèi)部決策過(guò)程。 此次上市不涉及發(fā)行新股或募資。上市后,做市商將在泛歐交易所(Euronext)購(gòu)買公司現(xiàn)有股票,并通過(guò)美元計(jì)價(jià)的專用股票代碼在美國(guó)市場(chǎng)提供交易。 此前消息,7月7日,TheBlockchainGroup增持116枚比特幣,總持倉(cāng)達(dá)1904枚。

  • 4E:BlackRock持倉(cāng)突破70萬(wàn)枚BTC,加密ETF需求遠(yuǎn)超礦工供應(yīng)

    2025-07-09 14:17
    ChainCatcher消息,根據(jù)4E觀察,全球最大資管公司BlackRock旗下IBIT比特幣現(xiàn)貨ETF本周再獲1.65億美元資金凈流入,持倉(cāng)突破700,000枚BTC,當(dāng)前市值約為755億美元。該ETF自2024年初成立以來(lái)總回報(bào)率已達(dá)82.67%,目前占美國(guó)全部BTC現(xiàn)貨ETF持倉(cāng)的55%以上。 據(jù)GalaxyResearch統(tǒng)計(jì),截至2025年,IBIT與MicroStrategy等美國(guó)機(jī)構(gòu)共計(jì)購(gòu)入約282億美元比特幣,而同期礦工新產(chǎn)出僅為78.5億美元,表明機(jī)構(gòu)需求持續(xù)超過(guò)鏈上新增供給,助推BTC長(zhǎng)期基本面。 此外,監(jiān)管層態(tài)度亦趨緩和,美國(guó)證監(jiān)會(huì)(SEC)正研究簡(jiǎn)化ETF審批流程,擬統(tǒng)一以S-1表格申請(qǐng)并設(shè)定75天審查期,若無(wú)異議即自動(dòng)生效。本月初,REX-Osprey推出首只帶質(zhì)押收益的SolanaETF,也標(biāo)志ETF產(chǎn)品逐步拓展至其他加密資產(chǎn)類別。 4E提醒投資者:機(jī)構(gòu)持倉(cāng)增長(zhǎng)與監(jiān)管寬松信號(hào)正在重塑市場(chǎng)結(jié)構(gòu),需持續(xù)關(guān)注ETF資金動(dòng)態(tài)與政策演進(jìn)帶來(lái)的潛在波動(dòng)。

  • 穩(wěn)定幣概念股金涌投資跌40%,市值失守20億港元關(guān)口

    2025-07-09 14:13
    金色財(cái)經(jīng)報(bào)道,據(jù)行情數(shù)據(jù),穩(wěn)定幣概念股金涌投資(01328.HK)跌40%,市值失守20億港元關(guān)口。(金十)
    • 查看更多