ECO:安全提醒｜警惕 Data 授权局

近期，多名用户前来咨询：有人以可低价出售中石化加油卡的名义让我给他转账0金额，但是转账时，需要点开高级模式并在Data中输入一串数字，声称是测试我钱包地址的可用性，这是否会影响我的钱包安全呢？

imToken安全团队提醒：这是子最新的一种盗取大家代币转账权限的手法，请不要相信他们！本文将剖析这类局的具体行手法并为大家提供对应的防贴士。

DeFiBox安全提示：警惕CORN项目安全风险:DeFi门户网站DeFiBox.com项目监测发现，Heco链上一个名为CORN的项目存在极高安全风险。用户在参与该项目挖矿过程中一旦退出质押，本金将会被扣除99%。据项目白皮书显示，该部分资金中94%将被默认捐赠给社区，5%的流动性资金将继续挖矿，但该情况未在挖矿页显著位置告知用户。另外需要注意的是，该项目未开源且未经任何安全机构审计通过。DeFiBox.com提醒广大用户警惕安全风险，远离此类未开源未审计的高危项目。[2021/4/15 20:21:31]

Data功能是以太坊网络的自定义信息功能，转账时通过Data可以调用任何智能合约或者将信息记录在链上。

安全提醒：警惕Filecoin RBF假充值攻击:据慢雾区消息，Filecoin出现“双花交易”，多家交易所关闭FIL充值通道。慢雾安全团队对相关信息分析发现，这是一起Filecoin的RBF假充值攻击事件而非”双花攻击“。攻击者预先发送一笔低gas-feecap的交易，然后通过提高gas-premium和gas-feecap替换原交易（RBF交易），此时RBF交易优先被打包上链，旧交易被丢弃，但是由于FilecoinlotusRPC有一个特性，在查询旧交易的执行状态时（使用lotusstateexec-trace命令或者通过REST接口Filecoin.StateGetReceipt获取）返回的是RBF交易的执行状态，导致交易所对两笔交易重复入账。

慢雾安全团队提醒交易所及相关钱包方，在充值入账时，需要对比查询返回结果中的cid与查询的cid是否一致，并配合ChainGetParentMessages和ChainGetParentReceipts等接口进行查询对比，避免重复入账。与此前慢雾区发现的假充值攻击不同的是，此次攻击方法更加隐蔽，是由于Filecoin节点特性所引起，交易所及相关钱包方应再次检查充值入账程序，除了RBF外，还有常规的To、Value、转账类型Method，以及执行结果ExitCode等字段的校验，必要时可请安全审计公司协助检测。[2021/3/19 19:00:10]

在上述案例中，这笔子声称用于测试钱包可用性的0金额转账，实际上是调用了什么智能合约呢？我们通过从链上查看用户的交易号，发现这实际上是一笔授权交易，用户将自己的USDT转账权限授权给了收款方，也就是子。子凭借你不经意间给他的转账权限，就可以不需要你的同意将你账户内的资产转走。

DeFiBox安全提醒：Basis Diamond（BDC）项目或存在风险 需谨慎参与:DeFi 门户网站DeFiBox.com项目监测发现，今日上线火币生态链Heco的自动挖矿协议项目Basis Diamond （BDC）代码未开源，存在未经审计的安全问题。

有用户反映，其投入质押池中的10%本金可直接被划走。由于该项目设计了48小时锁仓机制，用户质押Token时无法直接发现划转操作，DeFiBox.com提醒广大用户谨慎参与此项目。[2021/1/23 13:18:03]

和之前授权局不同的是，之前的授权局是通过诱导大家打开DApp来完成授权，而该局是子通过诱导用户在转账时输入指定Data来达到授权的效果。

imToken安全团队提醒大家：

任何以买U/检测USDT/挖矿等为由，诱导你通过Data功能转账的都是子！请勿进行转账。如果你已经进行了授权，请尽快取消授权，可以参考这篇文章查询和取消代币转账授权：安全提醒｜请警惕代币授权局。另外，你也可以在imToken浏览页搜索「Revoke」进入Revoke.cashDApp，取消ETH钱包地址在以太坊、Arbitrum、BSC、Polygon、Avalanche等网络中的授权记录。温馨提示：如果你无法确定自己是否遇到了这样的局，可以通过App内的「帮助与反馈」联系imToken官方客服协助。

?

标签：DEFIECOEFIDEFDefiCliqWECOINDeFinomicsDefyDefi

火星币热门资讯