SOL:慢霧發布DFX Finance攻擊事件簡析_ring幣介紹

據慢霧安全團隊情報，今日ETH鏈上的DFXFinance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊對此事件進行的分享如下：

1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢；2.緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款；3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證；4.由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查；5.最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利。

慢霧安全預警：Solana出現惡意合約授權釣魚事件 可轉走用戶全部原生資產:3月5日消息，Solana上出現多起授權釣魚事件。攻擊者批量給用戶空投 NFT (圖 1) ，用戶通過空投 NFT 描述內容里的鏈接 (www_officialsolanarares_net) 進入目標網站，連接錢包(圖 2)，點擊頁面上的“Mint”，出現批準提示框(圖 3)。注意，此時的批準提示框并沒有什么特別提示，當批準后，該錢包里的所有 SOL 都會被轉走。當點擊“批準”時，用戶會和攻擊者部署的惡意合約交互：3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

該惡意合約的功能最終就是發起“SOL Transfer”，將用戶的 SOL 幾乎全部轉走。從鏈上信息來看，該釣魚行為已經持續了幾天，中招者在不斷增加。

提醒：1. 惡意合約在用戶批準(Approve)后，可以轉走用戶的原生資產(這里是 SOL)，這點在以太坊上是不可能的，以太坊的授權釣魚釣不走以太坊的原生資產(ETH)，但可以釣走其上的 Token。于是這里就存在“常識違背”現象，導致用戶容易掉以輕心。

2. Solana 最知名的錢包 Phantom 在“所見即所簽”安全機制上存在缺陷(其他錢包沒測試)，沒有給用戶完備的風險提醒。這非常容易造成安全盲區，導致用戶丟幣。（慢霧區）[2022/3/5 13:39:42]

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。

BiKi平臺入駐慢霧區 發布“安全漏洞與威脅情報賞金計劃”:為了進一步保障用戶資產安全，提高平臺安全風控等級，BiKi平臺入駐慢霧區，發布“安全漏洞與威脅情報賞金計劃”，嚴重漏洞最高獎勵$10,000等值BIKI。

BiKi是一家數字資產交易服務和區塊鏈技術提供商，旗下包括幣幣、合約、網格、杠桿、余幣寶、抵押借貸、ETF、流動性挖礦等業務。致力于為用戶提供安全、穩定、高效的服務。

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，提供“威脅發現到威脅防御一體化因地制宜的安全解決方案”，包括：安全審計、威脅情報(BTI)、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢(AML)、假充值漏洞掃描等SAAS型安全產品。[2021/1/18 16:26:21]

參考攻擊交易：

Bingbon與慢霧科技達成安全戰略合作:據官方消息，數字資產衍生品交易平臺Bingbon 與慢霧科技達成安全戰略合作，雙方將針對數字貨幣行業中的底層公鏈安全研究、鏈上數據分析、威脅情報同步等多個環節保持密切合作，進一步保障Bingbon平臺及區塊鏈生態安全。Bingbon現已入駐慢霧區，并發布“安全漏洞與威脅情報賞金計劃”。Bingbon 一直重視平臺安全，關于安全風控，以超高標準投入，旨在打造一個業內安全穩定、公平公正、便捷高效的交易服務平臺。

始于2018 年，Bingbon 是一家全球性的數字資產衍生品交易服務平臺，用戶覆蓋亞洲、歐洲、北美洲和大洋洲等 37 個國家和地區，Bingbon 為用戶提供簡單、易用、專業的數字資產衍生品交易產品與服務。[2020/7/15]

https://etherscan.io/tx/0x6bfd9e286e37061ed279e4f139fbc03c8bd707a2cdd15f7260549052cbba79b7

此前，派盾曾報道稱DFXFinanceDEX池疑似被攻擊，損失約3000ETH，和上述分析數據有差異。

Tags：SOLINGBINBONCryptosolartechring幣介紹Doki Doki ChainbindersDogebonk

FTT