慢雾：Spartan Protocol被黑简析

慢雾分析SpartanProtocol被黑：1.攻击者通过闪电贷从PancakeSwap借出WBNB；2.在WBNB-SPT1池中，用借来的部分WBNB通过Swap兑换成SPT1，导致兑换池中产生巨大滑点。3.攻击者将持有的WBNB与SPT1向WBNB-SPT1池添加流动性获得LP凭证，由于滑点修正机制，获得的LP数量并不是正常值。4.进行Swap操作将WBNB兑换成SPT1，池中WBNB增多SPT1减少。5.Swap后将持有的WBNB和SPT1转移给WBNB-SPT1池，进行移除流动性操作。6.移除流动性时会通过池中实时的代币数量来计算用户的LP可获得多少对应的代币，由于步骤5，此时会获得比添加流动性时更多的代币。7.在移除流动性后会更新池子中的baseAmount与tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定差值。8.在与实际有差值的情况下还能添加流动性获得LP，此后攻击者只要再次移除流动性就能获得对应代币。9.攻击者只需将SPT1代币兑换成WBNB，即可获得更多WBNB。

慢雾：警惕QANX代币的双花攻击风险:据慢雾区消息，近期存在恶意用户利用QANX代币的转账锁定、解锁功能(transferLocked/unlock)触发的事件记录与正常使用transfer功能转账触发的Transfer事件记录相同而进行双花攻击。

慢雾安全团队建议已上架此币种的平台及时自查，未上架的平台在对接此类币种时应注意以上风险。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

慢雾：警惕ETH新型假充值，已发现在野ETH假充值攻击:经慢雾安全团队监测，已发现存在ETH假充值对交易所攻击的在野利用，慢雾安全团队决定公开修复方案，请交易所或钱包及时排查ETH入账逻辑，必要时联系慢雾安全团队进行检测，防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作：1、针对合约ETH充值时，需要判断内联交易中是否有revert的交易，如果存在revert的交易，则拒绝入账。2、采用人工入账的方式处理合约入账，确认充值地址到账后才进行人工入账。同时需要注意，类以太坊的公链币种也可能存在类似的风险。[2020/5/23]

声音 | 慢雾：ETC 51%双花攻击所得的所有ETC已归还完毕:据慢雾区消息，ETC 51%攻击后续：继Gate.io宣称攻击者归还了价值10万美金的ETC后，另一家被成功攻击的交易所Yobit近日也宣称收到了攻击者归还的122735 枚 ETC。根据慢雾威胁情报系统的深度关联分析发现：攻击者于UTC时间2019年1月10日11点多完成了攻击所获的所有ETC的归还工作，至此，持续近一周的 ETC 51% 阴云已散。[2019/1/16]

标签：WBNBBNBSPTETCWBNB价格MONGBNBCSPTZETC

欧易交易所app下载热门资讯