據慢霧區情報反饋,近期有黑客團伙利用惡意的npm包進行投盜取助記詞和數字資產。受害者使用了opensea-wallet-provider`npm包,在使用助記詞的時候,惡意的包會將助記詞發送到攻擊者的服務器上,從而竊取受害者的助記詞。由于在npmjs.com上傳npm包不需要進行審核,并且包的基礎信息可以任意填寫,因此攻擊者可以構造惡意的npm包,并偽造npm包的基礎信息混淆視聽,騙開發人員安裝惡意的包。建議排查代碼中是否有使用到該惡意的`opensea-wallet-provider`npm包。如果發現已使用,應及時轉移資產并更換錢包助記詞。用戶還可以通過包的下載鏈接進行識別,一般開源的包會放在官方團隊維護的GitHub倉庫中。
慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。
2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。
3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。
4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。
針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]
慢霧:警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報,近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,當前總損失約 431 萬美金。
經過慢霧安全追蹤分析確認,此次攻擊為批量谷歌關鍵詞廣告投放釣魚,用戶在谷歌搜索如:astroport,nexus protocol,anchor protocol 等這些知名的 Terra 項目,谷歌結果頁第一條看似正常的廣告鏈接(顯示的域名甚至是一樣的)實為釣魚網站。 一旦用戶不注意訪問此釣魚網站,點擊連接錢包時,釣魚網站會提醒直接輸入助記詞,一旦用戶輸入并點擊提交,資產將會被攻擊者盜取。
慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接,減少使用常用錢包進行非必要的操作,避免不必要的資損。[2022/4/21 14:37:55]
慢霧:Polkatrain 薅羊毛事故簡析:據慢霧區消息,波卡生態IDO平臺Polkatrain于今早發生事故,慢霧安全團隊第一時間介入分析,并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約,該合約有一個swap函數,并存在一個返傭機制,當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭,該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量,也未在返傭的時候判斷總返傭金是否用完了,導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型,防止意外情況發生。[2021/4/5 19:46:39]
據Techcrunch報道,粉絲變現平臺Fanhouse宣布完成2000萬美元A輪融資,本輪融資由a16z領投.
1900/1/1 0:00:00據TheBlock報道,美國金融服務初創公司Cogni在由韓華資產管理公司和CaplinFO共同領投的A輪融資中籌集了2300萬美元.
1900/1/1 0:00:00據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,NeorderDao項目的N3DR代幣合約的owner地址疑似私鑰泄露,累計被盜金額930枚BNB.
1900/1/1 0:00:00據官方公告,OpenSea現已推出可自動隱藏可疑NFT交易的新功能。OpenSea的新功能可以將可疑NFT交易自動轉到隱藏文件夾,此舉將減少詐騙媒介傳播,類似于郵箱里的“垃圾郵件箱”功能.
1900/1/1 0:00:00據TechCrunch報道,Web基礎設施Platform.sh完成1.4億美元D輪融資,MorganStanleyExpansionCapital、Revaia、DigitalPartners.
1900/1/1 0:00:00韓國區塊鏈治理和共識委員會將于5月17日在首爾舉辦2022年全球區塊鏈治理論壇,本次論壇將以“區塊鏈融合與數字經濟”為主題進行討論,并將以元宇宙和NFT為中心,討論學界和相關業界關注的解決方案.
1900/1/1 0:00:00