鏈捕手消息,據慢霧區情報反饋,7月17日16:00,premint.xyz遭遇黑客攻擊,黑客在premint.xyz網站中通過植入惡意的JS文件來實施釣魚攻擊,欺騙戶簽名setApprovalForAll(address,bool)的交易,從而盜取用戶的NFT等資產。慢霧安全團隊提醒用戶,如果有使用premint.xyz平臺請檢查授權設置并及時取消惡意授權。
慢霧:仍有大部分錢包支持eth_sign,僅少部分錢包提供安全風險警告:金色財經報道,在加密貨幣NFT板塊,越來越多的釣魚網站濫用 eth_sign 簽名功能來進行盲簽欺詐,提醒或禁用這種低級的簽名方法對于保護用戶安全是至關重要的,不少 Web3 錢包已經采取相關措施來對這種危險的簽名方法進行安全提示和限制。仍有一大部分加密錢包支持 eth_sign,其中少部分錢包提供 eth_sign 安全風險警告。如果用戶仍想要使用 eth_sign,他們可以選擇支持該功能的加密錢包。但是,用戶在使用這些錢包時需要特別注意安全警告,以確保其交易的安全性。[2023/5/11 14:57:14]
取消授權的工具:
慢霧:Solana公鏈上發生大規模盜幣,建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所:8月3日消息,據慢霧區情報,Solana公鏈上發生大規模盜幣事件,大量用戶在不知情的情況下被轉移SOL和SPL代幣,慢霧安全團隊對此事件進行跟蹤分析:
已知攻擊者地址:
Htp9MGP8Tig923ZFY7Qf2zzbMUmYneFRAhSp7vSg4wxV、CEzN7mqP9xoxn2HdyW6fjEJ73t7qaX9Rp2zyS6hb3iEu、5WwBYgQG6BdErM2nNNyUmQXfcUnB68b6kesxBywh1J3n、GeEccGJ9BEzVbVor1njkBCCiqXJbXVeDHaXDCrBDbmuy
目前攻擊仍在進行,從交易特征上看,攻擊者在沒有使用攻擊合約的情況下,對賬號進行簽名轉賬,初步判斷是私鑰泄露。不少受害者反饋,他們使用過多種不同的錢包,以移動端錢包為主,我們推測可能問題出現在軟件供應鏈上。在新證據被發現前,我們建議用戶先將熱錢包代幣轉移到硬件錢包或知名交易所等相對安全的位置,等待事件分析結果。[2022/8/3 2:55:22]
1、https://etherscan.io/tokenapprovalchecker
慢霧:Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報,Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。
2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。
3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。
4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。
針對該事件,慢霧給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]
2、https://revoke.cash/?
惡意的JS文件:
https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658046560357
作者:?IOBCCapitalNFT市場從去年一月份開始爆發,并在去年一年成為引領市場的熱點領域。根據DuneAnalytics的數據,在今年1月時,NFT市場的周交易額達到了61.5億美元.
1900/1/1 0:00:00作者:元宇宙之心MetaverseHub“元宇宙的開拓者”是我們針對元宇宙的發展而設立的專欄,主要面向那些深挖元宇宙產業或者在元宇宙進行“淘金”的從業者,分享這些企業或者創業者們的故事.
1900/1/1 0:00:00作者:JoannaOssinger,MuyaoShen,andYueqiYang,彭博社編譯:Moni,Odaily星球日報在躲藏了五周后.
1900/1/1 0:00:00原文標題:《AnnouncingVentureFundIII》作者:MulticoinCapital編譯:潤升&胡韜.
1900/1/1 0:00:00原文標題:《國人DAO大敗局:放心吧!我們都實現不了去中心化自治》 撰文:大地之子定慧 相信每個DAO的參與者,都會遇到過以下問題:自稱DAO,卻跟社群沒區別 核心團隊集權統治 招志愿者.
1900/1/1 0:00:00原文標題:《熊市哪里「搬磚」?盤點主流Web3任務管理平臺》撰文:Allen,PANews本文詳細介紹了目前主流的Web3任務管理平臺.
1900/1/1 0:00:00