欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

當(dāng)前位置:主頁 > 區(qū)塊鏈 > 資訊 > 白嫖CZ解析

黑客教你如何用0.01 BNB“白嫖”CZ

2025-03-31 16:37:51 | 來源: | 作者:佚名
我們發(fā)現(xiàn)可以在 ReachMe.io 低成本和任意用戶 Say Hi 的漏洞,于是我們第一時間聯(lián)系了項目方團(tuán)隊,并提供漏洞驗證的詳情,

黑客教你如何用0.01 BNB“白嫖”CZ

背景

昨天,當(dāng)我還在整理APT 攻擊相關(guān)的素材時,山哥(@im23pds) 突然激動地來到我的工位旁邊:“Thinking,我發(fā)現(xiàn)了一個有趣的項目,CZ 在高頻使用,我們或許可以 0 成本和 CZ Say Hi。”于是我們迅速擬定了幾個可能的漏洞點:

  • 劫持CZ 在 ReachMe 的賬號;
  • 更改CZ 在 ReachMe 的設(shè)置;
  • 不花錢給CZ 發(fā)消息,繞過給他發(fā)消息要花費 1 BNB 的限制。

大約在10 分鐘后,我們發(fā)現(xiàn)可以在 ReachMe.io 低成本和任意用戶 Say Hi 的漏洞,于是我們第一時間聯(lián)系了項目方團(tuán)隊,并提供漏洞驗證的詳情。項目團(tuán)隊也在第一時間就迅速修復(fù)了該漏洞,同時聯(lián)系我們進(jìn)行復(fù)測。為 ReachMe 團(tuán)隊認(rèn)真嚴(yán)謹(jǐn)對待安全問題的態(tài)度點贊!

此外,慢霧安全團(tuán)隊很榮幸獲得了CZ 和 ReachMe 項目方團(tuán)隊的致謝。

發(fā)現(xiàn)過程

ReachMe.io 是一個基于 BNB Chain 的付費聊天平臺,旨在通過加密貨幣支付機(jī)制連接 KOL(關(guān)鍵意見領(lǐng)袖)與粉絲。用戶向 KOL 發(fā)送私信需支付 BNB ,KOL 可獲得 90% 費用(平臺抽成 10%);若 KOL 5 天內(nèi)未回復(fù),用戶可獲 50% 退款。

2025 年 3 月 27 日,幣安創(chuàng)始人 CZ 將其 X 賬號簡介改為:“DM: https://reachme.io/@cz_binance (fees go to charity)”,即“在 ReachMe 上 DM 我,費用將用于慈善”。

我們可以看到,和CZ Say Hi 的成本是 1 枚 BNB,于是我們設(shè)想了一些方案,并進(jìn)行嘗試,看如何繞過 1 枚 BNB 的限制來和 CZ Say Hi。

和山哥一陣研究后,我們發(fā)現(xiàn)ReachMe 在給任意 KOL 發(fā)送消息的時候會通過“/api/kol/message”接口生成消息的概要信息,其中包含“_id”字段,這個字段是在發(fā)消息的時候附帶到鏈上合約Function: deposit(string _identifier,address _kolAddress)使用,對應(yīng)的是_identifier字段。

并且給KOL 發(fā)送消息附帶的 BNB 其實就是調(diào)用合約Function: deposit附帶的BNB 數(shù)量,于是我們構(gòu)造了一筆交易,將“Hi CZ”的消息對應(yīng)的“_identifier”以及 CZ 的地址,并附帶 0.01 BNB(最低僅需 0.001 BNB)發(fā)送給合約。

由于ReachMe 在設(shè)計之初并沒有將 KOL 預(yù)設(shè)的發(fā)消息成本放在合約中進(jìn)行檢測(或許是為了方便KOL 更好地隨時調(diào)整消息的價格并且節(jié)省 Gas 費?),因此可以通過修改前端代碼,修改網(wǎng)絡(luò)響應(yīng)包或者直接與合約進(jìn)行交互來繞過 1 BNB 的限制。這是由于服務(wù)端在檢索鏈上的交易時也遺漏了消息價格與鏈上交易的 BNB 數(shù)量的檢查。

于是我們用了大約10 分鐘,成功繞過了和 CZ 對話要花費 1 BNB 的規(guī)則,僅花費了 0.01 BNB 就可以和 CZ Say Hi。

另外,值得注意的是,其實還有更深一步的利用,如:給CZ 發(fā)有趣的消息,進(jìn)行魚叉釣魚?鑒于 CZ 本人影響較大,后面就放棄了這部分測試,大家也多注意安全,謹(jǐn)防釣魚。

總結(jié)

這類結(jié)合中心化與去中心化的產(chǎn)品設(shè)計,經(jīng)常會出現(xiàn)鏈上和鏈下的安全檢查不一致的情況。因此,攻擊者可以通過分析鏈上鏈下的交互流程,繞過某些檢查限制。慢霧安全團(tuán)隊建議項目方盡可能在鏈上和鏈下的代碼中同步必要的安全檢查項,避免被繞過的可能。同時,建議聘請專業(yè)的安全團(tuán)隊進(jìn)行安全審計,以發(fā)現(xiàn)潛在的安全風(fēng)險并加以防范。

到此這篇關(guān)于黑客教你如何用0.01 BNB“白嫖”CZ的文章就介紹到這了,更多相關(guān)白嫖CZ解析內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持腳本之家!

免責(zé)聲明:本文只為提供市場訊息,所有內(nèi)容及觀點僅供參考,不構(gòu)成投資建議,不代表本站觀點和立場。投資者應(yīng)自行決策與交易,對投資者交易形成的直接或間接損失,作者及本站將不承擔(dān)任何責(zé)任。!
Tag:黑客  

你可能感興趣的文章

更多

熱門幣種

  • 幣名
    最新價格
    24H漲幅
  • bitcoin BTC 比特幣

    BTC

    比特幣

    $ 106349.73¥ 757124.99
    +4.7%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 3623.38¥ 25795.56
    +6.72%
  • tether USDT 泰達(dá)幣

    USDT

    泰達(dá)幣

    $ 0.9997¥ 7.117
    +0.01%
  • ripple XRP 瑞波幣

    XRP

    瑞波幣

    $ 2.5322¥ 18.0272
    +11.96%
  • binance-coin BNB 幣安幣

    BNB

    幣安幣

    $ 1001.59¥ 7130.51
    +1.78%
  • solana SOL Solana

    SOL

    Solana

    $ 169.18¥ 1204.42
    +7.1%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 1¥ 7.1192
    +0%
  • tron TRX 波場

    TRX

    波場

    $ 0.294¥ 2.093
    +1.77%
  • dogecoin DOGE 狗狗幣

    DOGE

    狗狗幣

    $ 0.1838¥ 1.3085
    +6.24%
  • cardano ADA 艾達(dá)幣

    ADA

    艾達(dá)幣

    $ 0.5996¥ 4.2686
    +8.7%

幣圈快訊

  • 法農(nóng):美國政府停擺結(jié)束可能終結(jié)美元上漲勢頭

    2025-11-10 18:05
    法國農(nóng)業(yè)信貸銀行表示,美元自10月份以來的上漲勢頭將面臨重大考驗,因美國政府停擺可能即將結(jié)束。該行指出,一旦美國政府停擺結(jié)束并恢復(fù)公布經(jīng)濟(jì)數(shù)據(jù),疲軟的數(shù)據(jù)可能會凸顯其對經(jīng)濟(jì)的負(fù)面影響,并助長鴿派的氣焰。此外,隨著政府停擺結(jié)束和財政部現(xiàn)金囤積的解除,美元的流動性溢價可能消退,這也使美元失去了另一個支撐因素。

  • BinanceAlpha本期JCT空投單號收益約48美元

    2025-11-10 18:03
    BinanceAlpha已上線Janction(JCT),幣價現(xiàn)報0.003美元,當(dāng)前市值3536萬美元。符合條件用戶可申領(lǐng)16,000枚JCT代幣空投,按現(xiàn)價計算約48美元。

  • 美股策略師看好2026年上漲,稱當(dāng)前風(fēng)險為暫時性逆風(fēng)

    2025-11-10 17:58
    一些華爾街策略師認(rèn)為,強(qiáng)勁的企業(yè)盈利將推動2026年美國股市的上漲,圍繞不確定利率前景的風(fēng)險將被證明是短暫的。摩根士丹利的MichaelWilson表示,盈利復(fù)蘇正在進(jìn)行中,美國企業(yè)享有更好的定價權(quán),盈利預(yù)期修正已觸底。他指出,盡管聯(lián)邦儲備銀行的指引和政府停擺對股價造成壓力,但這些只是暫時性阻力。市場焦點轉(zhuǎn)向下周公布的英偉達(dá)公司財報。

  • 法農(nóng),美國政府停擺結(jié)束或?qū)⒔K結(jié)美元上漲勢頭

    2025-11-10 17:56
    法國農(nóng)業(yè)信貸銀行表示,美元自10月份以來的上漲勢頭將面臨重大考驗,因美國政府停擺可能即將結(jié)束。該行指出,一旦美國政府停擺結(jié)束并恢復(fù)公布經(jīng)濟(jì)數(shù)據(jù),疲軟的數(shù)據(jù)可能會凸顯其對經(jīng)濟(jì)的負(fù)面影響,并助長鴿派的氣焰。此外,隨著政府停擺結(jié)束和財政部現(xiàn)金囤積的解除,美元的流動性溢價可能消退,這也使美元失去了另一個支撐因素。

  • MEXC正式上線限價閃兌功能,讓用戶以理想價格閃兌

    2025-11-10 17:47
    根據(jù)官方消息,MEXC現(xiàn)已正式上線限價閃兌功能,支持MEXCApp與網(wǎng)頁版,開啟更聰明、更可控的交易方式。透過限價閃兌,用戶可預(yù)設(shè)理想買入或賣出價格,系統(tǒng)將自動執(zhí)行。當(dāng)市場觸及您的目標(biāo)價時,交易即刻完成,讓您在波動市場中掌握主控權(quán)。
    • 查看更多