慢霧：上周預計損失總額為8,428,033美元

金色財經報道，安全公司慢霧發布上周安全報告（2023年12月10日-12月16日），預計損失總額：8,428,033美元。關鍵事件：

1.Flooring Protocol Hack：針對與合約漏洞相關的Flooring Protocol的攻擊，引發了撤銷合約授權的緊急建議。

2. NFT Trader漏洞：重入問題導致重大損失，并隨后為返還被盜NFT支付賞金。

3. Ledger Connect Kit供應鏈攻擊：Ledger Connect Kit版本中的惡意代碼注入導致通過網絡釣魚攻擊導致資產被盜。

4. OKX DEX合約泄露：私鑰泄露問題導致代幣通過DEX代理被盜。

5. Peapods Finance白帽黑客攻擊：被白帽黑客黑客攻擊，大部分資金被退回，凸顯了主動安全措施的重要性。

6. Venus協議預言機攻擊：預言機攻擊影響了一個小型獨立礦池，展示了去中心化協議對預言機問題的脆弱性。

7. Stoic_DAO Rug Pull：Stoic_DAO的價格下滑導致重大損失，表明DeFi領域持續存在拉動風險。

其它快訊：

慢霧：某地址中的79枚ETH被惡意轉移:金色財經報道，慢霧發布惡意資金警報，稱來自Angel-Drainer地址中的79枚ETH被轉移至0xed2a開頭地址。[2024/1/18 20:25:26]

慢霧：ERC721R示例合約存在缺陷，本質上是由于owner權限過大問題:4月12日消息，據@BenWAGMI消息，ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析，此缺陷本質上是由于owner權限過大問題，在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時，其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數，owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

慢霧:BSC鏈上項目BXH遭受攻擊分析:10月30日消息，據慢霧區情報，2021年10月30日，幣安智能鏈上(BSC)去中心化交易協議BXH項目遭受攻擊，被盜約1.3億美金。經慢霧安全團隊分析，黑客于27日13時(UTC)部署了攻擊合約0x8877，接著在29日08時(UTC)BXH項目管理錢包地址0x5614通過grantRole賦予攻擊合約0x8877管理權限。30日03時(UTC)攻擊者通過攻擊合約0x8877的權限從BXH策略池資金庫中將其管理的資產轉出。30日04時(UTC)0x5614暫停了資金庫。因此BXH本次被盜是由于其管理權限被惡意的修改，導致攻擊者利用此權限轉移了項目資產。[2021/10/30 6:22:02]