慢霧：上周Web3領域發生安全事件7起，共損失約7577萬美元

金色財經報道，據慢霧區塊鏈被黑檔案庫統計，2023年9月10日至9月16日，共發生安全事件7起，總損失約7577萬美元，與前幾周相比，對加密貨幣交易所和知名人士的攻擊有所增加，主要原因是CoinEx遭到了價值7000萬美元的大規模攻擊。具體事件如下：

1、CoinEx：由于熱錢包私鑰泄露，損失7000萬美元。慢霧分析師認為，此次攻擊可能與朝鮮黑客組織Lazarus Group有關。

2、Remitano：加密貨幣交易所受到攻擊，造成270萬美元損失。據稱錢包被盜。

3、Mark Cuban錢包被盜，導致多種加密貨幣損失87萬美元。

4、Milady內部操縱導致100萬美元損失，事件涉及一名開發人員挪用公司財務。

5、Paxos：在一次轉賬中出現漏洞，導致損失50萬美元，以交易費的形式支付。

6、Vitalik Buterin：X賬戶遭到黑客攻擊，并發布了釣魚鏈接，導致損失70萬美元。

7、Lido：代幣合約在處理轉賬時表現出異常行為，但未報告經濟損失。

其它快訊：

慢霧：正協助Poly Network追查攻擊者，黑客已實現439萬美元主流資產變現:7月2日消息，慢霧首席信息安全官23pds在社交媒體發文表示，慢霧團隊正在與Poly Network官方一起努力追查攻擊者，并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

慢霧：DOD合約中的BUSD代幣被非預期取出，主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報，2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下：

1. DOD 項目使用了一種特定的鎖倉機制，當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖，若不滿足以上條件，DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下，用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣，即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。

2. 但由于 DOD 代幣價格較低，惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。

3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中，以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。

4. 之后只需要調用 DOD 合約中的 swap 函數，將持有的 DOD 代幣轉入 DOD 合約中，既可取出 1/10 轉入數量的 BUSD 代幣。

5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。

本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]

聲音 | 慢霧：Ghostscript存在多個漏洞:據慢霧區消息，Google Project Zero發布Ghostscript多個漏洞預警，遠端攻擊者可利用漏洞在目標系統執行任意代碼及繞過安全限制。Ghostscript 9.26及更早版本都受影響。軟件供應商已提供補丁程序。[2019/1/24]