慢雾分析Vee.Finance被攻击漏洞：预言机价格源单一且数据获取未进行小数处理

链捕手消息，安全分析机构SlowMist针对雪崩生态借贷项目Vee.Finance被攻击事件发布报告。分析称主要原因在于，在创建杠杆交易订单的过程中，预言机仅使用Pangolinpool的价格作为价格馈送源，而该池价格波动超过3%。预言机会刷新价格，导致攻击者操纵了Pangolinpool的价格。而操纵VeeFinance预言机价格和收购预言机价格没有进行小数处理，导致掉期前预期的滑点检查没有起作用。

慢雾创始人余弦：保持IOS系统更新习惯，另外建议尽量不要使用iMessage功能:金色财经报道，卡巴斯基首席执行官尤金·卡巴斯基在社交媒体上称，我们发现了一种针对 iOS 的新网络攻击，称为三角测量。攻击从带有恶意附件的 iMessage 开始，利用 iOS 中的多个漏洞安装间谍软件。无需用户操作。

对此，慢雾创始人余弦转发提醒称，这黑客组织是下血本的，一条 iMessage 消息不需要什么用户交互即可静默地在你的 iOS 上植入木马，远程控制你的 iPhone，禁用升级、重启恢复、偷钱包的能力肯定也是绰绰有余，但这个组织的意图不是这个。不过还是别大意，系统保持更新习惯（虽然木马会禁用更新，这个可能也可以作为判断你 iPhone 是否正常的点），另外强烈建议，iMessage 这功能没什么软用就别用了…[2023/6/2 11:53:30]

绕过对合约调用的检查，以及保证金交易的目标对未列入白名单是该次事故的间接原因。

声音 | 慢雾科技余弦：攻击者通过同样的手机号搞定目标用户在 Coinbase 上的权限:慢雾科技创始人余弦针对最近数字货币交易平台的 SIM 卡转移攻击发文称，前些天有人的 Coinbase 账号遭遇了 SIM Port Attack（SIM 卡转移攻击），损失了超过 10 万美金的数字货币，很惨痛。攻击过程大概是：攻击者通过社会工程学等手法拿到目标用户的隐私，并到运营商得到一张新的 SIM 卡，然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。SIM 都被转移了，这就很麻烦了，基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证，这是一个非常中心化的认证方式，手机号成为攻击的弱点。这个攻击以前在国内也有不少案例，运营商的风控策略也越来越强大，但策略这东西总是有绕过方式，这种方式主要就是社会工程学，当然也不排除其他方式的结合。不是我不信任运营商或中心化服务，而是这种重要的资产，大家要更加谨慎了，大额的数字货币是不是应该有更安全的存放方式？相关平台的安全风控策略是不是也该多琢磨如何再提升提升？[2019/5/27]

此前9月20日，Vee.Finance遭遇攻击，价值超过3500万美元的资产被盗。慢雾表示，目前正在协助Vee.Finance进行攻击分析和黑客跟踪。

动态 | 慢雾区：已修复EOS智能合约底层asset类溢出缺陷:据慢雾区消息， EOS智能合约底层asset类存在溢出缺陷，目前 EOSIO v1.1.4版本已修复该问题。如果智能合约中使用到了 asset的乘法操作，建议更新对应的代码并重新编译合约。因为像 asset这样的工具代码是静态编译进合约中的，必须重新编译才能解决其中的安全隐患。[2018/8/9]

标签：SIMNANIMEFINASimba InuHulk Financetime币最新消息Vesta Finance

比特币最新价格热门资讯