慢雾：Polkatrain 项目 POLT_LBP 合约返佣事故

链闻消息，据慢雾区，波卡生态IDO平台Polkatrain于今早发生事故，本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。

慢雾：远程命令执行漏洞CVE-2023-37582在互联网上公开，已出现攻击案例:金色财经报道，据慢雾消息，7.12日Apache RocketMQ发布严重安全提醒，披露远程命令执行漏洞（CVE-2023-37582）目前PoC在互联网上公开，已出现攻击案例。Apache RocketMQ是一款开源的分布式消息和流处理平台，提供高效、可靠、可扩展的低延迟消息和流数据处理能力，广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务，注意风险。漏洞描述：当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令。[2023/7/14 10:54:22]

慢雾：近期出现新的流行恶意盗币软件Mystic Stealer，可针对40款浏览器、70款浏览器扩展进行攻击:6月20日消息，慢雾首席信息安全官@IM_23pds在社交媒体上发文表示，近期已出现新的加密货币盗窃软件Mystic Stealer，该软件可针对40款浏览器、70款浏览器扩展、加密货币钱包进行攻击，如MetaMask、Coinbase Wallet、Binance、Rabby Wallet、OKX Wallet、OneKey等知名钱包，是目前最流行的恶意软件，请用户注意风险。[2023/6/20 21:49:05]

慢雾：仍有大部分钱包支持eth_sign，仅少部分钱包提供安全风险警告:金色财经报道，在加密货币NFT板块，越来越多的钓鱼网站滥用 eth_sign 签名功能来进行盲签欺诈，提醒或禁用这种低级的签名方法对于保护用户安全是至关重要的，不少 Web3 钱包已经采取相关措施来对这种危险的签名方法进行安全提示和限制。仍有一大部分加密钱包支持 eth_sign，其中少部分钱包提供 eth_sign 安全风险警告。如果用户仍想要使用 eth_sign，他们可以选择支持该功能的加密钱包。但是，用户在使用这些钱包时需要特别注意安全警告，以确保其交易的安全性。[2023/5/11 14:57:14]

标签：IGNETHSIGSIGNSIGN币ETHYS币SIGNA

AVAX热门资讯