慢霧分析Vee.Finance被攻擊漏洞：預言機價格源單一且數據獲取未進行小數處理_ECT

鏈捕手消息，安全分析機構SlowMist針對雪崩生態借貸項目Vee.Finance被攻擊事件發布報告。分析稱主要原因在于，在創建杠桿交易訂單的過程中，預言機僅使用Pangolinpool的價格作為價格饋送源，而該池價格波動超過3%。預言機會刷新價格，導致攻擊者操縱了Pangolinpool的價格。而操縱VeeFinance預言機價格和收購預言機價格沒有進行小數處理，導致掉期前預期的滑點檢查沒有起作用。

慢霧：Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋，Moonbirds 發布安全公告，Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣，而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架，如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

繞過對合約調用的檢查，以及保證金交易的目標對未列入白名單是該次事故的間接原因。

動態 | 慢霧發布針對 EOS 交易 hard_fail 狀態的新型攻擊說明:據 IMEOS 報道，慢霧發文解析了 hard_fail 狀態攻擊，根據其的情報捕獲與分析，慢霧意識到針對 EOS hard_faild 狀態的新型攻擊手法可能會造成更大范圍的影響，本次手法成因為項目方未對交易狀態進行嚴格且完備的檢驗導致攻擊發生，屬于“假充值”攻擊類型的一種。在此，慢霧安全團隊建議交易所和錢包要對發送給自己的轉賬交易在不可逆的區塊前提下檢測以下幾點：1. 判斷 status 是否為 executed2. 判斷 action 是否為 transfer3. 判斷合約賬號是否為 eosio.token 或其它 token 的官方合約4. 判斷代幣名稱及精度5. 判斷金額6. 判斷 to 是否是自己平臺的充幣賬號補充說明：本次攻擊可繞過節點 read-only 模式，開啟 read-only 模式仍然會受到攻擊。因為交易的狀態為：未執行->已經執行但執行失敗，并不是回滾所以即使開啟了 read-only 模式，依然會受到攻擊。[2019/3/12]

此前9月20日，Vee.Finance遭遇攻擊，價值超過3500萬美元的資產被盜。慢霧表示，目前正在協助Vee.Finance進行攻擊分析和黑客跟蹤。

聲音 | 慢霧區：Electrum偽造升級提示的釣魚攻擊盜竊至少200個BTC:據慢霧區消息，Electrum偽造升級提示的釣魚攻擊已盜竊至少 200 枚BTC，此次攻擊單靠升級 Electrum無法避免，需要整個生態服務都做對應的改動（因為 Electrum 這個客戶端并不是全節點，然后在交易廣播上和對應的服務端有消息通訊，攻擊者也可以部署惡意服務端）。慢霧區提醒用戶，Electrum這類釣魚攻擊需要長期警惕。慢霧區此前發布Electrum釣魚更新事件預警，對Electrum錢包進行攻擊的黑客利用Electrum的軟件異常構造惡意的軟件更新提示，誘導用戶更新下載惡意軟件使用。[2019/1/4]

Tags：CTRRUMELECECTCTRAINFREETRUMPElectra ProtocolECTO價格

火必交易所