SLOPE:安全團隊：Multichain的Anyswap V4 Router合約遭遇搶跑攻擊，攻擊者獲利約13萬美元

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年2月15日，攻擊者利用MEV合約(0xd050)在正常的交易執行之前(用戶授權了WETH但是還未進行轉賬)搶先調用了AnyswapV4Router合約的anySwapOutUnderlyingWithPermit函數進行簽名授權轉賬，雖然函數利用了代幣的permit簽名校驗，但是本次被盜的WETH卻并沒有相關簽名校驗函數，僅僅觸發了一個fallback中的deposit函數。在后續的函數調用中攻擊者就能夠無需簽名校驗直接利用safeTransferFrom函數將_underlying地址授權給被攻擊合約的WETH轉移到攻擊合約之中。攻擊者獲利約87個以太坊，約13萬美元，BeosinTrace追蹤發現目前被盜資金有約70個以太坊進入了0x690b地址，還有約17個以太坊還留在MEVBOT的合約中。交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f

安全團隊：Shih-Tzu Inu項目代幣價格下跌超52%:金色財經消息，據CertiK監測，Shih-Tzu Inu項目在鎖倉到期后出現幣價暴跌，跌幅達52%以上，并以約129 BNB（近3.57萬美元）的價格售出代幣。

BSC地址：0x74d00122a5d038914EAe062af8174C888F3166Dc。[2022/10/18 17:30:14]

安全團隊：Transit Swap最大黑客目前已歸還超8成被盜資金:金色財經報道，據慢霧Mist Track分析，截止目前Transit Swap被盜事件中，盜取最大資金的黑客（地址為 0x75F2...FD46 和 0xfa71...90fb）已歸還超1890萬美元的被盜資金，歸還資金占總被盜資金約83.6%。剩余被盜資金中的12,500BNB 被轉移到Tornado Cash，占總被盜資金約 15.7%。此前，該黑客將約1400萬MOONEY代幣和67,709DAI代幣轉入ShibaSwap:BONE Token合約地址，導致資金無法取出。[2022/10/3 18:38:42]

安全團隊：Slope Wallet (Android, Version: 2.2.2)的sentry服務存在私鑰泄露:8月4日消息，慢霧發布對 Solana 攻擊事件的分析，據 Solana 基金會提供的數據，被盜用戶種約 60% 使用 Phantom、約 30% 使用 Slope，其余使用 Trust Wallet、Coin98 Wallet 等，IOS 和 Android 均未能幸免。

在分析 Slope Wallet (Android, Version: 2.2.2) 時，發現其使用了 sentry 的服務。Sentry 是一項廣泛使用的服務，在“o7e.slope[.]finance”上運行。Sentry 的服務從 Slope 錢包中收集助記詞和私鑰等敏感數據，并在創建錢包時將其發送到 https://o7e.slope[.]finance/api/4/envelope/，并發現 Version:>=2.2.0 包中的 sentry 服務會收集助記詞發給“o7e.slope[.]finance”，而 Version:2.1.3 則沒有找到收集助記詞或私鑰的明顯行為。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后發布，所以 Slope 該日期之后的用戶受到影響。

對于另外 60% 的使用 Phantom Wallet 用戶，分析 Phantom（版本：22.07.11_65）錢包后發現，Phantom（Android，版本：22.07.11_65）也使用 sentry 服務收集用戶信息，但目前沒有發現任何明顯的收集助記詞或私鑰的行為。[2022/8/4 2:58:18]

Tags：SLOPENTRALLSENTSLOPE幣Contraction Dynamic Set DollarAlligatorkSentinel Chain

ICP