安全團隊：Multichain的Anyswap V4 Router合約遭遇搶跑攻擊，攻擊者獲利約13萬美元_WET

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年2月15日，攻擊者利用MEV合約(0xd050)在正常的交易執行之前(用戶授權了WETH但是還未進行轉賬)搶先調用了AnyswapV4Router合約的anySwapOutUnderlyingWithPermit函數進行簽名授權轉賬，雖然函數利用了代幣的permit簽名校驗，但是本次被盜的WETH卻并沒有相關簽名校驗函數，僅僅觸發了一個fallback中的deposit函數。在后續的函數調用中攻擊者就能夠無需簽名校驗直接利用safeTransferFrom函數將_underlying地址授權給被攻擊合約的WETH轉移到攻擊合約之中。攻擊者獲利約87個以太坊，約13萬美元，BeosinTrace追蹤發現目前被盜資金有約70個以太坊進入了0x690b地址，還有約17個以太坊還留在MEVBOT的合約中。交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f

安全團隊：不法分子通過短信發送imToken虛假網址、釣魚鏈接進行非法操作:金色財經報道，Fairyproof監測發現，近期有不法分子通過短信發送imToken虛假網址、釣魚鏈接進行非法操作，盜取用戶資金。Fairyproof強烈建議用戶不要點擊未知鏈接，不要輸入地址的助記詞或私鑰，或其他隱私信息，必要時通過官方渠道進行咨詢或驗證，以免造成資金損失。[2023/1/13 11:10:25]

安全團隊：約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash:金色財經消息，據派盾監測，約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash。

注：去年8月，DAO Maker遭受黑客攻擊，被盜價值700萬美元的USDC。[2022/6/4 4:02:12]

分析 | 慢霧安全團隊提醒｜EOS假賬號安全風險預警:根據IMEOS報道，EOS 假賬號安全風險預警，慢霧安全團隊提醒：

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷，比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功，那么就可能出現假賬號攻擊。

攻擊示意如下：

1. 用戶使用某款 EOS 錢包注冊賬號（比如 aaaabbbbcccc），錢包提示注冊成功，但由于判斷不嚴格，這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡，都可能再搶注 aaaabbbbcccc 這個賬號，導致用戶提現到一個已經不是自己賬號的賬號里

防御建議：輪詢節點，返回不可逆區塊信息再提示成功，具體技術過程如下：

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

Tags：EOSTRATRANSWETEOS幣最新消息TRAC幣行情Evident Proof Transaction TokenWettok Market

Luna