ETH:慢霧：Numbers Protocol 代幣項目存在嚴重漏洞遭攻擊，務必盡快取消授權

據慢霧安全團隊情報，ETH鏈上的NumbersProtocol代幣項目遭到攻擊，攻擊者獲利約13,836美元。

慢霧安全團隊以簡訊形式分享如下：1.攻擊者創建了一個惡意的anyToken代幣，即攻擊合約，該惡意代幣合約的底層代幣指向NUM代幣地址；2.接著調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數，該函數的功能是傳入anyToken并調用底層代幣的permit函數進行簽名批準，之后兌換出擁有授權的用戶的底層代幣給指定地址。但是由于NUM代幣中沒有permit函數且擁有回調功能，所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗，導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中；3.接著攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利；

慢霧：Uwerx遭受攻擊因為接收地址會多銷毀掉from地址轉賬金額1%的代幣:金色財經報道，Uwerx遭到攻擊，損失約174.78枚ETH，據慢霧分析，根本原因是當接收地址為 uniswapPoolAddress（0x01）時，將會多burn掉from地址的轉賬金額1%的代幣，因此攻擊者利用uniswapv2池的skim功能消耗大量WERX代幣，然后調用sync函數惡意抬高代幣價格，最后反向兌換手中剩余的WERX為ETH以獲得利潤。據MistTrack分析，黑客初始資金來自Tornadocash轉入的10 BNB，接著將10 BNB換成1.3 ETH，并通過Socket跨鏈到以太坊。目前，被盜資金仍停留在黑客地址0x605...Ce4。[2023/8/2 16:14:10]

此次攻擊的主要原因在于NUM代幣中沒有permit函數且具有回調功能，所以可以傳入假簽名欺騙跨鏈橋導致用戶資產被非預期轉出。(來源鏈接)

慢霧：針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息，慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認，火幣本著負責任披露信息的策略，對本次事件做以下說明：本次事件是小范圍內（4000人）的用戶聯絡信息泄露，信息種類不涉及敏感信息，不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致，相關用戶信息于2022年10月8日已經完全隔離，日本站與火幣全球站無關。本次事件由白帽團隊發現后，火幣安全團隊2023年6月21日（10天前）已第一時間進行處理，立即關閉相關文件訪問權限，當前漏洞已修復，所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待，切勿傳謠。[2023/7/1 22:12:01]

慢霧：去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息，2022年3月29日，Acutus的ACOWriter合約遭受攻擊，其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控，攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

Tags：NUMETHSWAPMITRYI Platinumtogetherbnb房東模擬器DSWAP價格Legends of Mitra

Luna