WBT:慢雾：部分OpenSea用户遭钓鱼攻击，所上架NFT以极低匹配价格售出

12月10日晚间，据慢雾区情报，有用户在OpenSea挂单售卖的NFT被恶意的以远低于挂单价匹配买。经慢雾安全团队分析，此是由于该受害用户遭受钓鱼攻击，错误的对攻击者精心构造的恶意订单进行签名，恶意订单中指定了极低的出售价格、买方地址为攻击者以及出售NFT为受害用户在OpenSea上架的待出售NFT。攻击者使用受害用户已签名的出售订单以及攻击者自己的购买订单在OpenSea中进行匹配，并以攻击者指定的极低价格成交，导致受害用户的NFT以非预期的价格售出。

慢雾：疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息，慢雾监测显示，疑似加密交易所Gemini相关地址（0xea3ec2a08fee18ff4798c2d4725ded433d94151d）已在过去5小时内归集并转出逾20万枚ETH（超3亿美元）。[2022/7/19 2:22:08]

慢雾：Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

慢雾：PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击，慢雾安全团队解析：这是一次典型的利用闪电贷操作价格的攻击，其关键点在于WBNB-BUNNYLP的价格计算存在缺陷，而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式，最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格，使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议，在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

标签：WBTBTCUSDWBTCCWBTC币MetaWhale BTCUSDZwbtc币发行价

火币APP热门资讯