Chain:慢雾助力火币生态链、OKExChain，共同维护生态安全

自2020年以来，DeFi市场疯狂繁荣，以Uniswap、SushiSwap为首的DEX发展尤为迅猛，抢走了传统交易所大批的交易量，同时以太坊网络的拥堵以及Gas费过高极大地影响了用户的体验。基于以上原因，作为全球头部的交易所，火币、OKEx纷纷布局谋篇，将着重点专注到基础设施建设，相继推出交易所公链，以转型来寻找新的可能性，增大交易所的生态价值。

2020年12月21日，火币生态链Heco主网正式上线。Heco全称“HuobiECOChain”，是一个去中心化高效节能公链，也是火币开放平台推出的首个产品，在支撑高性能交易的基础上，实现智能合约的兼容。Heco的原生数字资产为HT，采用HPoS共识机制。

火币生态链的主旨宣言——“助力开发者成长的每个阶段”。12月21日，HuobiDeFiLabs宣布成立“Heco生态基金”。Heco生态基金用于支持火币开放平台和火币生态链上项目发展，促进火币生态的繁荣。Heco生态基金近期将重点关注火币生态链上的DEX，借贷，预言机，跨链解决方案，稳定币兑换，保险等方向的优质项目。近期，Heco生态联盟正式公布了首批交易所名单，多家交易所加入Heco生态联盟，为Heco生态项目助力。

慢雾：2021年上半年共发生78起区块链安全事件，总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计，2021年上半年，整个区块链生态共发生78起较为著名的安全事件，涉及DeFi安全50起、钱包安全2起，公链安全3起，交易所安全6起，其他安全相关17起，其中以太坊上27起，币安智能链(BSC)上22起，Polygon上2起，火币生态链(HECO)、波卡生态、EOS上各1起，总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现，约60%的资金被攻击者转入混币平台，约30%的资金被转入交易所。慢雾安全团队在此建议，用户应增强安全意识，提高警惕，选择经过安全审计的可靠项目参与；项目方应不断提升自身的安全系数，通过专业安全审计机构的审计后才上线，避免损失；各交易所应加大反监管力度，进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

随后，2021年1月15日，耗时三年，OKExChain主网正式上线。据官方资料显示，OKExChain是世界上第一条贸易链，是专为交易而建立的区块链技术。OKExChain提供安全有效的基础架构，用于创建去中心化应用程序，以在跨链，价值交换生态系统中进行各种资产的无缝链上交易。

慢雾：Spartan Protocol被黑简析:据慢雾区情报，币安智能链项目 Spartan Protocol 被黑，损失金额约 3000 万美元，慢雾安全团队第一时间介入分析，并以简讯的形式分享给大家参考：

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1，导致兑换池中产生巨大滑点；

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证，但是在添加流动性的时候存在一个滑点修正机制，在添加流动性时将对池的滑点进行修正，但没有限制最高可修正的滑点大小，此时添加流动性，由于滑点修正机制，获得的 LP 数量并不是一个正常的值；

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1，此时池子中的 WBNB 增多 SPT1 减少；

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子，然后进行移除流动性操作；

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币，由于步骤 5，此时会获得比添加流动性时更多的代币；

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值；

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP，此后攻击者只要再次移除流动性就能再次获得对应的两种代币；

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB，最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

OKExCEOJayHao表示：“OKExChain的愿景是建立一个去中心化的，世界上每个人都可以高效利用的无边界交易生态。‘高性能公链、完全的去中心化、社区驱动、开放性、极致的兼容性、跨平台、跨链网关、支持现货&衍生品交易’这八大特色也将成为OKExChain实现此愿景的有力支持。”

慢雾揭秘Pickle Finance被黑过程:2020 年 11 月 22 日，以太坊 DeFi 项目 Pickle Finance 遭受攻击，损失约 2000万DAI。慢雾安全团队跟进相关事件并进行分析，以下为分析简略过程：

1、项目的 Controller 合约中的 swapExactJarForJar 函数允许传入两个任意的 jar 合约地址进行代币的兑换，其中的 _fromJar, _toJar, _fromJarAmount, _toJarMinAmount 都是用户可以控制的变量，攻击者利用这个特性，将 _fromJar 和 _toJar 都填上自己的地址，_fromJarAmount 是攻击者设定的要抽取合约的 DAI 的数量，约 2000万 DAI。

2、使用 swapExactJarForJar 函数进行兑换过程中，合约会通过传入的 _fromJar 合约和 _toJar 合约的 token() 函数获取对应的 token 是什么，用于指定兑换的资产。 而由于 _fromJar 合约和 _toJar 合约都是攻击者传入的，导致使用 token() 函数获取的值也是可控的，这里从 _fromJar 合约和 _toJar 合约 获取到的 token 是 DAI。

3. 此时发生兑换，Controller 合约使用 transferFrom 函数从 _fromJar 合约转入一定量的的 ptoken，但是由于 fromJar 合约是攻击者控制的地址，所以这里转入的 ptoken 是攻击者的假币。同时，因为合约从 _fromJar 合约中获取的 token 是 DAI，然后合约会判断合约里的资金是否足够用于兑换，如果不够，会从策略池中赎回一定量的代币 然后转到 Controller 合约中。在本次的攻击中，合约中的 DAI 不足以用于兑换，此时合约会从策略池中提出不足的份额，凑够攻击者设定的 2000万 DAI 。

4. 兑换继续，Controller 合约在从策略池里提出 DAI 凑够攻击者设定的 2000万 DAI后，会调用 _fromJar 的 withdraw 函数，将攻击者在第三步转入的假 ptoken burn 掉，然后合约判断当前合约中 _toJar 合约指定的 token 的余额是多少，由于 _toJar 合约指定的 token 是 DAI，Controller 合约会判断合约中剩余 DAI 的数量，此时由于 第三步 Control[2020/11/22 21:39:57]

无论是火币生态链还是OKExChain，无疑都为开发者、投资者、用户提供了一个方便又实用的平台，不仅使用户的可选择性变得多样化，同时更好地推动了DeFi与CeFi的融合。当然，在项目遍地开花的大浪潮下，安全审计也变得格外重要。

声音 | 慢雾：EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后，联合 EOSPark 的大数据分析系统持续跟踪和分析发现：从昨日开始，存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击，并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施，严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外，确保以下几点防止其他类型的“假充值”攻击： 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

据了解，本次慢雾安全团队对HuobiECOChain、火币钱包、浏览器插件钱包及相关智能合约进行了全面的安全审计，审计过程中审计人员发现了各类型安全漏洞，经反馈修正后，所有发现问题均已修复。

****

除此之外，慢雾安全团队于2019年5月24日收到OKExChain团队的审计申请，慢雾安全团队采用“黑灰为主，白盒为辅”的策略，以最贴近真实攻击的方式，对项目进行全面的安全审计。审计项包括但不限于代码规范安全审计、节点RPC安全、私钥存储、创世文件配置、操作命令参数安全审计等，本次审计发现的漏洞均在OKExChain相应版本中得到修复。后将进行新一轮审计。

作为区块链安全头部公司，慢雾已服务了全球许多头部或知名的项目，包括：加密货币交易所、加密货币钱包、智能合约、DeFi项目、底层公链。

****

慢雾相信通过本次与火币生态链Heco、OKExChain的深度合作，不仅能为底层基础建设提供更大的安全保障，同时进一步推动DeFi生态的发展，共同维护生态安全。

往期回顾

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/9603020.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

币安为何推出第三条链？这对BNB意味着什么？

标签：JARTOKEChainHAIJAR价格Dog Club Tokenlifechain3X Long TomoChain Token

币安下载热门资讯