火星链 火星链
Ctrl+D收藏火星链
首页 > SAND > 正文

SDT:慢雾:Solana授权钓鱼猖獗,用户切勿掉以轻心

作者:

时间:1900/1/1 0:00:00

据慢雾区情报,Solana上出现多起授权钓鱼事件。攻击者批量向用户空投NFT,用户通过空投NFT描述内容里的链接进入目标网站,连接钱包并点击页面上的“Mint”,随后会出现批准提示框。一旦获得批准,该钱包里的所有SOL都会被转走。该恶意合约的功能就是发起“SOLTransfer”,将用户的SOL几乎全部转走。从链上信息来看,该钓鱼行为已经持续了几天,中招者在不断增加。

慢雾:警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道,近期,慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试,通过一个如图这样的“Root 签名”即可以极低成本(特指“零元购”)钓走目标用户在 Blur 平台授权的所有 NFT,Blur 平台的这个“Root 签名”格式类似“盲签”,用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕,当发现来非 Blur 官方域名(blur.io)的“Root 签名”,一定要拒绝,避免潜在的资产损失。[2023/3/7 12:46:39]

慢雾提醒:1.恶意合约在用户批准(Approve)后,可以转走用户的原生资产(这里是SOL),这点在以太坊上是不可能的,以太坊的授权钓鱼钓不走以太坊的原生资产(ETH),但可以钓走其上的代币。于是这里就存在“常识违背”现象,导致用户容易掉以轻心。2.Solana最知名的钱包Phantom在“所见即所签”安全机制上存在缺陷(其他钱包没测试),没有给用户完备的风险提醒。这非常容易造成安全盲区,导致用户丢币。

慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

慢雾:BSC链上项目BXH遭受攻击分析:10月30日消息,据慢雾区情报,2021年10月30日,币安智能链上(BSC)去中心化交易协议BXH项目遭受攻击,被盗约1.3亿美金。经慢雾安全团队分析,黑客于27日13时(UTC)部署了攻击合约0x8877,接着在29日08时(UTC)BXH项目管理钱包地址0x5614通过grantRole赋予攻击合约0x8877管理权限。30日03时(UTC)攻击者通过攻击合约0x8877的权限从BXH策略池资金库中将其管理的资产转出。30日04时(UTC)0x5614暂停了资金库。因此BXH本次被盗是由于其管理权限被恶意的修改,导致攻击者利用此权限转移了项目资产。[2021/10/30 6:22:02]

标签:WBTBTCSDTWBTCWBT价格0XBTC价格BitVenus里的usdt能用wbtc币什么做空

SAND热门资讯
ETH:Gold House推出针对亚太本土创始人的3000万美元风险投资基金,Binance Labs等参投

非营利组织GoldHouse宣布推出规模为3000万美元的风险投资基金GoldHouseVentures,将投资亚太地区本土创始人.

1900/1/1 0:00:00
MASK:Web3基础设施平台Our Happy Company完成750万美元种子轮融资,Animoca Brands等领投

据Decrypt报道,由美国歌手JohnLegend和Twitch联合创始人KevinLin创建的Web3基础设施平台OurHappyCompany完成750万美元种子轮融资.

1900/1/1 0:00:00
BNB:饿了么发布首款“美味中国”数字美食藏品

据钱江晚报报道,今日,饿了么联合中国杭帮菜博物馆发布首款“美味中国”数字美食藏品“鳕鱼狮子头”。据悉,这是杭州市商务局与饿了么共建的全行业首个“数字美食”创新项目.

1900/1/1 0:00:00
CBD:白宫发布加密行政法令情况说明书,将针对6个关键优先事项制定国家数字资产政策

白宫发布拜登将签署加密行政法令的情况说明书,首次提及要求“整个政府”针对加密资产及技术的风险与利弊进行评估.

1900/1/1 0:00:00
RIT:链游公会Merit Circle计划创建专注于游戏内资产的NFT市场

链游公会MeritCircle宣布将为游戏内资产创建一个NFT市场,使玩家能够交易所有采用NFT技术的游戏资产.

1900/1/1 0:00:00
虚拟资产:韩国四大交易所投资者现可在该国FATF旅行规则下相互转移大额加密货币

据Forkast报道,在韩国采用金融行动特别工作组(FATF)的旅行规则一个月后,Upbit运营商Dunamu创立的旅行规则解决方案提供商VerifyVASP.

1900/1/1 0:00:00