HON:慢雾：AMM协议Uranium“被黑”系智能合约精度处理出错

链捕手消息，据此前报道，智安智能链上AMM协议Uranium“被黑”，损失金额达5000万美元。

慢雾安全团队进行分析称：此次问题发生在Uranium项目的pair合约上，该合约的swap函数部分逻辑参考了PancakeSwap的逻辑，允许用户进行闪电贷借出资金。但是该函数在根据恒定乘积公式检查合约余额时，存在精度处理错误的问题，导致最后合约中计算出的余额比合约实际的余额大100倍，这种情况下，如果攻击者使用闪电贷进行借款，只需要归还借贷金额的1%即可通过检查，盗走剩余的99%的余额，导致项目损失。

慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险:据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。[2022/5/10 3:03:22]

目前Uranium官方已发文确认被盗，并建议用户联系官方统计损失，慢雾安全团队建议用户在参与DeFi项目时注意风险，谨慎参与，并选择经过安全审计的可靠项目方来参与DeFi，避免资金损失。

慢雾：Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息，2月14日，BSC链上的Titano Finance项目遭受攻击，损失约190万美元，最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数，导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]

攻击者攻击交易哈希

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

标签：SWAPTRAHONONESWAPTC币Trabzonspor Fan TokenHONORCryptographic Ultra Money

币安下载热门资讯