EOS:慢霧：DFX Finance 存在嚴重漏洞遭攻擊，攻擊者獲利逾 23 萬美元_CUR

ForesightNews消息，據慢霧安全團隊情報，2022年11月11日，ETH鏈上的DFXFinance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：1.攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢2.緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款3.存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證4.由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查5.最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚的XIDR代幣和99,866枚USDC代幣獲利此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。

慢霧：近期出現新的流行惡意盜幣軟件Mystic Stealer，可針對40款瀏覽器、70款瀏覽器擴展進行攻擊:6月20日消息，慢霧首席信息安全官@IM_23pds在社交媒體上發文表示，近期已出現新的加密貨幣盜竊軟件Mystic Stealer，該軟件可針對40款瀏覽器、70款瀏覽器擴展、加密貨幣錢包進行攻擊，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名錢包，是目前最流行的惡意軟件，請用戶注意風險。[2023/6/20 21:49:05]

慢霧：PREMINT攻擊者共竊取約300枚NFT，總計獲利約280枚ETH:7月18日消息，慢霧監測數據顯示，攻擊PREMINT的兩個黑客地址一共竊取了大約300枚NFT，賣出后總計獲利約280枚ETH。此前報道，黑客在PREMINT網站植入惡意JS文件實施釣魚攻擊，從而盜取用戶的NFT等資產。[2022/7/18 2:19:58]

聲音 | 慢霧：警惕“假充值”攻擊:慢霧分析預警，如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷，可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS，而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生，但需要注意的是：EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似，更多責任應該屬于平臺方。由于這是一種新型攻擊手法，且攻擊已經在發生，相關平臺方如果對自己的充值校驗沒有十足把握，應盡快暫停 EOS 充提，并對賬自查。[2019/3/12]

Tags：EOSALLCURCurveEOS Venezuela0xWallet TokenSecurabyte ProtocolSBTCCURVE價格

FIL幣