安全公司：Multichain的AnyswapV4Router合約遭遇搶跑攻擊，攻擊者獲利約13萬美元_Uniswap

據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年2月15日，Multichain的AnyswapV4Router合約遭遇搶跑攻擊。

Web3安全公司SphereX完成820萬美元融資:8月9日消息，Web3安全公司SphereX以2400萬美元估值完成820萬美元融資，Aleph領投，參投方包括Pillar VC、Fabric Ventures和Mensch Capital Partners。

據悉，SphereX推出的產品SphereX Protect允許區塊鏈應用阻止可疑交易的執行。協議和應用的開發者可以將SphereX的代碼注入到他們的軟件中，通過分析過去的正常和異常交易來標記SphereX認為可疑的未來交易。[2023/8/9 21:34:54]

經分析，攻擊者利用MEV合約(0xd050)在正常的交易執行之前(用戶授權了WETH但是還未進行轉賬)搶先調用了AnyswapV4Router合約的anySwapOutUnderlyingWithPermit函數進行簽名授權轉賬，雖然函數利用了代幣的permit簽名校驗，但是本次被盜的WETH卻并沒有相關簽名校驗函數，僅僅觸發了一個fallback中的deposit函數。在后續的函數調用中攻擊者就能夠無需簽名校驗直接利用safeTransferFrom函數將_underlying地址授權給被攻擊合約的WETH轉移到攻擊合約之中。

安全公司Dedaub因披露Uniswap重入漏洞獲得4萬美元漏洞賞金:1月3日消息，安全公司 Dedaub 團隊宣布獲得 Uniswap Labs 的 4 萬枚 USDC 安全漏洞賞金，因為其披露 Uniswap 的一個嚴重漏洞，該漏洞有重入并耗盡用戶的資金的可能性。不過，Uniswap 團隊已解決該漏洞并在所有鏈上重新部署了 Universal Router 智能合約，資金是安全的。

Uniswap 在 2022 年 11 月份發布通用路由器Universal Router智能合約，可將 ERC20 和 NFT 兌換統一到一個交換路由器中，用戶可以執行異構操作，例如，在一筆交易中交換多個 Token 和 NFT。

Dedaub 表示，該路由器為各種 Token 操作嵌入了腳本語言，此類命令可能包括向第三方（可能不受信任的）接收人的傳輸。如果在傳輸過程中的任何時候調用第三方代碼，該代碼可以重新進入 UniversalRouter 并在合約中臨時認領任何 Token。Dedaub 建議 Uniswap 為新路由器的核心執行添加一個重入鎖，并重新部署。[2023/1/4 9:50:22]

攻擊者獲利約87個以太坊，約13萬美元，BeosinTrace追蹤發現目前被盜資金有約70個以太坊進入了0x690b地址，還有約17個以太坊還留在MEVBOT的合約中。

安全公司：第二季度基于瀏覽器的加密劫持活動增加了163％:網絡安全公司賽門鐵克（symantec）發布的最新研究顯示，3月以來加密價格飆升伴隨著一波加密劫持攻擊。到2020年第二季度，基于瀏覽器的加密劫持活動增加了163％。而由于加密挖礦程序CoinHive的關閉，加密劫持此前一直較2019年3月急劇下降。symantec指出，上一季度的增長與比特幣和門羅幣的價值上漲同時出現，這兩種加密貨幣經常被威脅者用于基于瀏覽器的加密惡意軟件挖掘。（cointelegraph）[2020/8/26]

交易哈希：0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f。

Tags：SWAPUNIUniswapHERPhoenixDefiSwapredcommunitytokenUniswap WalletCIPHER

MANA