WAL:慢霧：BonqDAO 攻擊者用預言機操控市場并清算其他用戶，仍在將 ALBT 變現為 ETH

ForesightNews消息，據慢霧安全團隊情報，2023年2月2日，Polygon鏈上的BonqDAO項目遭到攻擊，攻擊者獲得了大量的WALBT和BEUR代幣。慢霧安全團隊以簡訊的形式分享如下：1.BonqDAO平臺采用的預言機來源是TellorFlex自喂價與Chainlink價格的比值，TellorFlex價格更新的一個主要限制是需要價格報告者先抵押10個TRB才可以進行價格提交更新。而在TellorFlex中可以通過updateStakeAmount函數根據抵押物的價格進行周期性的更新價格報告者所需抵押的TRB數量。2.由于TellorFlex預言機合約的TRB抵押數額一開始就被設置成10個，且之后沒有通過updateStakeAmount函數進行更新，導致攻擊者只需要抵押10個TRB后就能成為價格報告者并通過調用submitValue函數修改預言機中WALBT代幣的價格3.攻擊者對價格進行修改后調用了Bonq合約的createTrove函數為攻擊合約創建了trove，該trove合約的功能主要是記錄用戶抵押物狀態、負債狀態、從市場上借款、清算等4.緊跟著攻擊者在協議里進行抵押操作，接著調用borrow函數進行借款，由于WALBT代幣的價格被修改而拉高，導致協議給攻擊者鑄造了大量BEUR代幣5.在另一筆攻擊交易中，攻擊者利用上述方法修改了WALBT的價格，然后清算了市場上其他存在負債的用戶以此獲得大量的WALBT代幣。6.根據慢霧MistTrack分析，1.13億WALBT已在Polygon鏈burn并從ETH鏈提款ALBT，后部分ALBT通過0x兌換為ETH；部分BEUR已被攻擊者通過Uniswap兌換為USDC后通過Multichain跨鏈到ETH鏈并兌換為DAI。此次攻擊的根本原因在于攻擊者利用預言機報價所需抵押物的成本遠低于攻擊獲得利潤從而通過惡意提交錯誤的價格操控市場并清算其他用戶。截止目前，94.6萬ALBT已被兌換為695ETH，55.8萬BEUR已被兌換為53.4萬DAI。黑客仍在持續兌換ALBT為ETH，暫未發現資金轉移到交易所等平臺，MistTrack將持續監控黑客異動并跟進拉黑。

慢霧：針對macOS系統惡意軟件RustBucket竊取系統信息:金色財經報道，SlowMist發布安全警報，針對macOS 運行系統的 Rust 和 Objective-C 編寫的惡意軟件RustBucket，感染鏈由一個 macOS 安裝程序組成，該安裝程序安裝了一個帶后門但功能正常的 PDF 閱讀器。然后偽造的 PDF 閱讀器需要打開一個特定的 PDF 文件，該文件作為觸發惡意活動的密鑰。[2023/5/23 15:20:27]

動態 | 慢霧：2020年加密貨幣勒索蠕蟲已勒索到 8 筆比特幣:慢霧科技反洗錢(AML)系統監測：世界最早的知名加密貨幣勒索蠕蟲 WannaCry 還在網絡空間中茍延殘喘，通過對其三個傳播版本的行為分析，其中兩個最后一次勒索收到的比特幣分別是 2019-04-22 0.0584 枚，2019-09-01 0.03011781 枚，且 2019 年僅發生一次，另外一個 2020 還在活躍，2020 開始已經勒索收到 8 筆比特幣支付，但額度都很低 0.0001-0.0002 枚之間。這三個傳播版本第一次發生的比特幣收益都是在 2017-05-12，總收益比特幣 54.43334953 枚。雖然收益很少，但 WannaCry 可以被認為是加密貨幣歷史上勒索作惡的鼻主蠕蟲，其傳播核心是 2017-04-13 NSA 方程式組織被 ShdowBrokers(影子經紀人) 泄露第三批網絡軍火里的“永恒之藍”(EternalBlue)漏洞，其成功的全球影響力且匿名性為之后的一系列勒索蠕蟲（如 GandCrab）帶來了巨大促進。[2020/2/23]

聲音 | 慢霧：采用鏈上隨機數方案的 DApp 需緊急暫停:根據近期針對EOS DApp遭遇“交易排擠攻擊”的持續性威脅情報監測：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos等知名DAPP陸續被攻破，該攻擊團伙（floatingsnow等）的攻擊行為還在持續。在EOS主網從根本上解決這類缺陷之前，慢霧建議所有采用鏈上隨機數方案的DAPP緊急暫停并做好風控機制升級。為了安全起見，強烈建議所有競技類DAPP采用EOS官方很早就推薦的鏈下隨機種子的隨機數生成方案[2019/1/16]

Tags：ALBTLBTEOSWALalbt幣前景lbtc幣在中幣為什么沒周交易量了eos幣最新利好消息walv幣官網

狗狗幣最新價格