Safeheron 安全提醒：Juno「乌龙指」3600 万美元加密货币转入错误钱包地址

By Safeheron 安全团队

Cosmos 生态智能合约平台链 Juno Network 在通过 21号社区提案后，本应将巨鲸持有的大部分 JUNO 代币转入社区控制的「Unity」合约中。

21号社区提案：计划通过重写 Juno 的分类账进行升级，将该笔搁浅的资金从无人控制的地址中分配到「Unity」合约中（支持率为 97.55%）。

但是，负责执行该操作的人员 Asano 复制错了地址，从而导致资金被转入了无人控制的地址中。而且，在出现此人为乌龙后，Juno 的 120 多名验证者竟无人发现转账地址有误。如今，该错误地址 Asano 和 Juno 社区均无法访问。

Safeheron 分析

此次乌龙事件涉及了两大隐患：

1. 操作员权限过大，具有单点风险 ；

2. 未针对转账目标地址进行审核，造成转账至无人控制地址；

3. 转账操作未经过多人审核。

Safeheron 建议

1. 核心私钥需要采用多签方式消除单点风险；

2. 提前审批目标地址，添加为白名单地址；

3. 加强安全治理控制，所有的关键权限节点均不依赖一个人完成，需要多人操作或审批验证。