慢霧：Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容_ULT

據慢霧區消息，6月7日，EqualizerFinance遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下：1.EqualizerFinance存在FlashLoanProvider與Vault合約，FlashLoanProvider合約提供閃電貸服務，用戶通過調用flashLoan函數即可通過FlashLoanProvider合約從Vault合約中借取資金，Vault合約的資金來源于用戶提供的流動性。2.用戶可以通過Vault合約的provideLiquidity/removeLiquidity函數進行流動性提供/移除，流動性提供獲得的憑證與流動性移除獲得的資金都受Vault合約中的流動性余額與流動性憑證總供應量的比值影響。3.以WBNBVault為例攻擊者首先從PancekeSwap閃電貸借出WBNB4.通過FlashLoanProvider合約進行二次WBNB閃電貸操作，FlashLoanProvider會先將WBNBVault合約中WBNB流動性轉給攻擊者，隨后進行閃電貸回調。5.攻擊者在二次閃電貸回調中，向WBNBVault提供流動性，由于此時WBNBVault中的流動性已經借出一部分給攻擊者，因此流動性余額少于預期，則攻擊者所能獲取的流動性憑證將多于預期。6.攻擊者先歸還二次閃電貸，然后從WBNBVault中移除流動性，此時由于WBNBVault中的流動性已恢復正常，因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。7.攻擊者通過以上方式攻擊了在各個鏈上的Vault合約，耗盡了EqualizerFinance的流動性。此次攻擊的主要原因在于EqualizerFinance協議的FlashLoanProvider合約與Vault合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。

慢霧：正協助Poly Network追查攻擊者，黑客已實現439萬美元主流資產變現:7月2日消息，慢霧首席信息安全官23pds在社交媒體發文表示，慢霧團隊正在與Poly Network官方一起努力追查攻擊者，并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

聲音 | 慢霧：使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息，近日，注意到撞庫攻擊導致用戶數字貨幣被盜的情況，具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測，同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為，被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全，但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系，且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致，這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]

Tags：VAULTULTBNBWBNBSPUNK Vault (NFTX)Vaulteum怎么買BNB幣wbnb幣是什么

中幣