STA:慢霧預警：警惕 EOS 賬號買賣中通過多簽提案回收 EOS 賬號風險

鏈聞消息，在EOS賬號買賣市場中，已知的回收賬號的方式是通過在賬號賣出前使用該賬號發起一筆修改賬號權限延時交易，待賬號成交后延時交易觸發，賬號權限被改，達到回收賬號的目的。據慢霧區伙伴紅石的情報，目前存在一種新型的回收賬號攻擊。攻擊者可事先利用賣出賬號發起一筆更改權限的多簽提案，并使用賣出賬號和攻擊者控制的另一個賬號同意此提案，由于通過提案與執行提案兩個動作可分開執行，此時先不執行提案，等賬號賣出后，使用任意賬號執行此提案，更改賣出賬號權限，即可達到回收賬號的目的。慢霧安全團隊提醒在EOS賬號交易市場中警惕此類賬號回收攻擊，在進行賬號交易時，可先查詢對應的交易賬號是否存在更改權限的多簽提案，如存在此類提案，可拒絕進行賬號交易。

慢霧余弦：比特瀏覽器用戶私鑰泄露事件已造成至少41萬美元損失:8月26日消息，慢霧余弦于X平臺（原推特）發文表示，比特瀏覽器發生用戶私鑰泄露事件，目前造成至少41萬美元的損失。[2023/8/27 12:58:50]

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

動態 | 慢霧預警：競技類游戲 WinDice 遭遇回滾攻擊:根據慢霧威脅情報系統捕獲，今天下午 2、3 點，競技類游戲 WinDice 遭遇回滾攻擊。攻擊者通過部署攻擊合約 rep******net 攻擊項目方合約 windiceadmin，共獲利 300 多枚 EOS，目前攻擊者數個關聯賬號已列入慢霧 BTI 系統黑名單庫，慢霧安全團隊提醒類似項目方全方面做好合約安全審計并加強風控策略。[2019/2/4]

Tags：STASTAKKINGKINSTAND價格Ethereum Stake FinancePixel KingsRKING幣

比特幣