【基于Conduit创建的多签钱包遭攻击或导致12个L2网络损失1.21亿美元】

【基于Conduit创建的多签钱包遭攻击或导致12个L2网络损失1.21亿美元】2024年05月22日10点07分老不正经报道，一个多签加密钱包拥有12个不同区块链网络的许可，这意味着，如果这个钱包被盗用，所有12个网络的资金都可能被耗尽，损失可能达到1.21亿美元。根据L2Beat研究员LucaDonno于5月19日向X分享的数据，这些网络包括Zora、Aevo、Hypr、Orderly、Ancient8、Lyra、Mode、Pgn、Parallel和Metal，所有网络均使用Conduitrollup创建软件创建。然而，Conduit创始人AndrewHuang表示，如果没有团队五个签名中的三个，钱包就无法进行交易。他说，这些签名的私钥存储在硬件钱包中，只有对3/5的个人进行物理攻击才能实现妥协。

【Polygon zkEVM已修复阻碍L1资产桥接至L2的漏洞，没有资金面临风险】

【PolygonzkEVM已修复阻碍L1资产桥接至L2的漏洞，没有资金面临风险】2023年05月29日12点24分5月29日消息，Scroll区块链安全研究员iczc发推称，在PolygonzkEVM中发现一个漏洞，并获得来自Web3漏洞赏金平台ImmunefiL2漏洞赏金。该漏洞导致从L1桥接至PolygonzkEVM（L2）的资产无法在L2中正确认领，从而阻碍了L1至L2的资产迁移。iczc在处理认领交易（claimtx）预执行结果的代码逻辑中发现，恶意攻击者可以通过将Gas费设置为非零来绕过对认领交易的「isReverted」预执行检查，使其可以通过发送大量低成本的claim对定序器和验证器进行DoS攻击，从而增加计算开销。此外，交易不会在执行后立即从池中删除。状态从「待定」更新为「选定」，并继续存在于PostgreSQL数据库中。目前，只有一个可信的定序器能够从交易池中获取交易并执行它们。因此，另一个漏洞是通过发送一个失败的交易来恶意标记任何存款数。这将导致正确使用存款数的认领交易被拒绝，因为存款数已经被使用。这使得新用户无法使用L2网络。PolygonzkEVM团队通过删除认领交易的特定gas逻辑，修复了这一漏洞，没有资金面临风险。

基于 Conduit 创建的多签钱包遭攻击或导致 12 个 L2 网络损失 1.21 亿美元

基于Conduit创建的多签钱包遭攻击或导致12个L2网络损失1.21亿美元一个多签加密钱包拥有12个不同区块链网络的许可，这意味着，如果这个钱包被盗用，所有12个网络的资金都可能被耗尽，损失可能达到1.21亿美元。根据L2Beat研究员LucaDonno于5月19日向X分享的数据，这些网络包括Zora、Aevo、Hypr、Orderly、Ancient8、Lyra、Mode、Pgn、Parallel和Metal，所有网络均使用Conduitrollup创建软件创建。然而，Conduit创始人AndrewHuang表示，如果没有团队五个签名中的三个，钱包就无法进行交易。他说，这些签名的私钥存储在硬件钱包中，只有对3/5的个人进行物理攻击才能实现妥协。