链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

慢雾文章 资讯 新闻 快讯 深度评论 介绍 解读

慢雾新闻快讯文章, 慢雾深度文章, 慢雾快讯, 区块链慢雾, 慢雾是什么, 慢雾介绍, 慢雾解读, 慢雾项目, 三分钟了解慢雾, 秒懂慢雾, 如何评价慢雾, 慢雾怎么样, 慢雾创始人, 慢雾招聘, 慢雾融资, 慢雾价格, 慢雾技术, 慢雾社区, 慢雾论坛, 慢雾浏览器, 慢雾排名, 慢雾白皮书, 慢雾本质, 慢雾意义, 慢雾代码, 慢雾游戏, 慢雾什么意思, 慢雾学习, 慢雾培训, 慢雾教程, 慢雾投资, 慢雾赚钱, 慢雾安全, 慢雾漏洞

慢雾:DeFi 项目 Furucombo 被盗资金发生异动,多次使用 1inch 进行兑换

链闻消息,据慢雾 MistTrack,攻击 Furucombo 的黑客地址(0xb624E2...76B212)于今日发生异动,黑客通过 1inch 将 342 GRO、69 cWBTC、1700 万 cUSDC 兑换成 282 ETH,并将 147 ETH 从 Compound 转入到自己的地址,截至目前,该黑客地址余额约 170 万美元,另一个黑客地址余额为约 1200 万美元。

Layer 2 交易协议 ZKSwap 开源所有智能合约代码

链闻消息,Layer 2 交易协议 ZKSwap (ZKS)开源了其智能合约代码,开源的代码包含 ZKSwap 项目所有智能合约相关的代码,电路部分的代码会在审计报告出来后第一时间开源(目前电路审计已经结束)。...

ZKSwap 将于下周开源合约和电路代码,智能合约已完成审计

链闻消息,Layer 2 交易协议 ZKSwap 表示其所有智能合约和电路的代码都将完全开源,其中智能合约部分已经完全审计完成,将会在 2021 年 3 月 1 日开源;对于电路部分, ABDK 还在进行最后的审计报告编辑,将会在获得报告并在系统稳定运行一段时间后逐步开源。...
·

慢雾:BT.Finance 被黑手法与 yearn finance 的 DAI 策略池基本一致,需防范相关风险

链闻消息,慢雾安全团队针对「智能 DeFi 收益聚合器 BT.Finance 遭受闪电贷攻击,受影响的策略包括 ETH、USDC 和 USDT」一事分析称,本次攻击手法与 yearn finance 的 DAI 策略池被黑的手法基本一致。慢雾安全团队提醒,近期对接 Curve Finance 做相关策略的机枪池频繁遭受攻击。相关已对接 Curve Finance 收益聚合器产品应注意排查使用的策略是否存在类似问题。

ZKSwap 将于本周上线主网,已完成 4000 万枚 ZKS 的免费空投发放

链闻消息,基于 ZK Rollup 扩容技术的 AMM 去中心化交易所 ZKSwap 表示,已于上周完成了主网上线前的压力测试,将于本周在以太坊主网陆续部署智能合约和部署 Layer 2 系统,上线主网,并开启一系列流动性挖矿和交易即挖矿以及智能合约锁仓挖矿等活动。另外,ZKSwap 的主网上线代码已经分别通过了由 ABDK、Certik 以及慢雾进行的安全审计。...

慢雾: yearn finance 的 DAI 策略池遭受攻击系闪电贷攻击所致

链闻消息,机枪池 yearn finance 的 DAI 策略池遭受攻击,慢雾安全团队第一时间跟进分析,并以简讯的形式给大家分享细节,供大家参考:1)攻击者首先从 dYdX 和 AAVE 中使用闪电贷借出大量的 ETH;2)攻击者使用从第 1 步借出的 ETH 在 Compound 中借出 DAI 和 USDC;3)攻击者将第 2 步中的所有 USDC 和 大部分的 DAI 存入到 Curve DAI/USDC/USDT 池中,这个时候由于攻击者存入流动性巨大,其实已经控制 Cruve DAI/USDC/USDT 的大部分流动性;4)攻击者从 Curve 池中取出一定量的 USDT,使 DAI/USDT/USDC 的比例失衡,及 DAI/ (USDT&USDC) 贬值;5)攻击者第 3 步将剩余的 DAI 充值进 yearn DAI 策略池中,接着调用 yearn DAI 策略池的 earn 函数,将充值的 DAI 以失衡的比例转入 Curve DAI/USDT/USDC 池中,同时 yearn DAI 策略池将获得一定量的 3CRV 代币;6)攻击者将第 4 步取走的 USDT 重新存入 Curve DAI/USDT/USDC 池中,使 DAI/USDT/USDC 的比例恢复;7)攻击者触发 yearn DAI 策略池的 withdraw 函数,由于 yearn DAI 策略池存入时用的是失衡的比例,现在使用正常的比例提现,DAI 在池中的占比提升,导致同等数量的 3CRV 代币能取回的 DAI 的数量会变少。这部分少取回的代币留在了 Curve DAI/USDC/USDT 池中;8)由于第 3 步中攻击者已经持有了 Curve DAI/USDC/USDT 池中大部分的流动性,导致 yearn DAI 策略池未能取回的 DAI 将大部分分给了攻击者;9)重复上述 3-8 步骤 5 次,并归还闪电贷,完成获利。

ZKSwap 发布第 5 版测试网,下周将启动最终轮测试网激励活动

链闻消息,ZKSwap 官方表示已重置测试网并发布第 5 版测试网,重点修复了前面 4 个版本中的各种漏洞,并且已经修复了 ABDK、Certik、慢雾 3 家审计单位所反馈的问题。官方表示,第 5 版测试网可公开上线, 并且,由于使用了更多的高性能服务器来加速 zk 证明的计算,从而进一步解决了 Layer2 的 tps 问题。预计下周还会再发布一个测试网版本,并开启最后一轮的测试网激励活动(流动性挖矿、交易即挖矿 、智能合约锁仓挖矿)。主网上线容量设置的可能性为 ZKSwap 系统日交易量处理达到 400 万~500 万笔,将达到以太坊全网的 5 倍左右,并将逐步支持 128 个 token 在 Layer2 进行交易和转账,Layer2 交易最多将支持 1920 个交易对。

慢雾:SushiSwap 再次遭遇攻击,攻击者使用少量 DIGG 和 WETH 提供初始流动性可获取巨额利润

链闻消息,据慢雾区情报,SushiSwap 再次遭遇攻击,此次问题为 DIGG-WBTC 交易对的手续费被攻击者通过特殊的手段薅走。本次攻击和 SushiSwap 第一次攻击类似,都是通过操控交易对的兑换价格来产生获利,但是过程不一样,第一次攻击是因为攻击者使用 LP 代币本身和其他代币创建了一个新的交易对,并通过操纵初始流动性操控了这个新的交易对的价格来进行获利,而这次的攻击则利用了 DIGG 本身没有对 WETH 交易对,而攻击者创建了这个交易对并操控了初始的交易价格,导致手续费兑换过程中产生了巨大的滑点,攻击者只需使用少量的 DIGG 和 WETH 提供初始流动性即可获取巨额利润。

慢雾:Sysrv-hello 僵尸网络入侵 Nexus Repository Manager 3 后下载门罗币挖矿,存在大范围感染可能

链闻消息,据慢雾,Sysrv-hello 僵尸网络对云上 Nexus Repository Manager 3 存在默认帐号密码的服务器进行攻击,Maven 私服部署会用到 Nexus Repository Manager 3,由于 Maven 是个流行服务,所以也给了 Sysrv-hello 僵尸网络的大范围感染机会。Sysrv-hello 入侵服务器后会下载门罗币挖矿程序进行挖矿。
·

慢雾:技术拆解 Sysrv-hello 僵尸网络入侵原理

由于 Maven 是个流行服务,因此给了 Sysrv-hello 僵尸网络的大范围感染机会。
慢雾:技术拆解 Sysrv-hello 僵尸网络入侵原理
·

WePiggy 借贷和迁移合约代码已通过慢雾安全审计

WePiggy 借贷、迁移合约已通过区块链安全公司「慢雾科技」的审计。

慢雾 : 警惕比特币 RBF 风险

链闻消息,针对「比特币在区块高度 666,833 出现陈腐区块,并产生一笔双花交易」一事,慢雾表示,根据 BitMEX Research 提供的交易内容,双花的两笔交易的 nSequence 字段的值都小于 0xffffffff -1,初步认为此次双花交易有可能是比特币中的 RBF 交易,提醒交易所和钱包注意防范比特币 RBF 风险。

慢雾:DeFi 项目 Pickle Finance pDAI 池被盗资金再次发生异动,多次使用 Uniswap 进行兑换

链闻消息,据慢雾 MistTrack,攻击 pickle pDAI 池的黑客地址(0x701781...7a4E08)继 1 月 8 日异动后,再次于 1 月 14 日发生异动。此前黑客地址转移了 1500 万 DAI 到五个新地址,现除了地址 5 (0x64bA3e...fF62DB),其余四个地址均发生异动,其中地址 1 (0x607d65...04e461)和地址 2 (0x17d4fe...2b7a39)分别向另一个地址 3 (0x157b0f...862a01)转入 400 万 DAI。...

Linear Finance 将于 1 月 15 日发布 2.0 版的 Linear.Buildr 主网,将集成币安智能链

链闻消息,DeFi 合成资产协议 Linear Finance 将于 1 月 15 日发布 2.0 版本的 Linear.Buildr 主网,该版本将全面兼容币安智能链(BSC),并具有互换功能。2.0 版本主网的代码目前正在接受审计方慢雾的审计,并进入最终的内部测试环节。在该版上线时,Linear 将把 Buildr 以及所有用户质押和锁定中的 LINA 和ℓUSD 迁移到币安智能链上。与此前的迁移一样,对于用户而言,这个过程将是无缝衔接的,过程不会超过 8 小时。在迁移后,用户将需要在 MetaMask 中完成几个步骤,从而许可其与 BSC 上的 Buildr 交互。...

慢雾:DeFi 项目 Pickle Finance pDAI 池被盗资金沉寂 47 天后发生异动,1500 万 DAI 被转移

链闻消息,据慢雾 MistTrack,攻击 pickle pDAI 池的黑客地址(0x701781...7a4E08)在沉寂 47 天后出现异动,黑客地址向 5 个新地址转出共计 1500 万 DAI,之后使用 Uniswap、1inch 将 DAI 兑换为 Ether 和 CORN 等代币,并且,黑客在转移资金过程中使用了混币平台 Tornado.cash。

慢雾分析 Cover 协议攻击流程:rewardWriteoff 新旧参数差值导致计算出更大的铸造奖励数量

链闻消息,针对 DeFi 保险项目 Cover 协议被攻击一事,慢雾安全团队对整个攻击流程进行了简要分析:1. 在 Cover 协议的 Blacksmith 合约中,用户可以通过 deposit 函数抵押 BPT 代币;...

慢雾:Value DeFi 协议闪电贷攻击分析

链闻消息,Value DeFi 的 MultiStables 保险库遭遇闪电贷攻击,慢雾安全团队于第一时间跟进并进行相关分析,以简要的形式呈现给大家,供大家参考。1. 攻击者首先从 Aave 中借出 80000 个 ETH,为攻击做准备;2. 攻击者使用 80000 个 ETH 在 Uniswap WETH/DAI 池中用闪电贷借出大量的 DAI 和 在 Uniswap WETH/DAI 兑换出大量的 USDT;3. 用户调用 ValueMultiVaultBank 合约 的 deposit 合约使用第 2 步中小部分的 DAI 进行充值,ValueMultiVaultBank 合约中一共有 3 种资产,分别是 3CRV、bCRV、和 cCRV。ValueMultiVaultBank 合约在铸币的时候会将合约中的 bCRV、cCRV 转换成以 3CRV 进行计价,转化的途径为 bCRV/cCRV -> USDC -> 3CRV。其中 USDC -> 3CRV 使用的是 DAI/USDC/USD 池中 USDC/3CRV 的价格。转换完成后,Value DeFi 合约根据合约中总的 3CRV 的价值和攻击者充值的 DAI 数量计算 mVUSD 铸币的数量;4. 攻击者在 Curve DAI/USDC/USDT 池先使用第二步中剩余的大部分 DAI 和 USDT 兑换 USDC,拉高 DAI/USDC/USDT 池中的 USDC/3CRV 的价格;5. 攻击者在 ValueMultiVaultBank 合约中发起 3CRV 提现,此时 ValueMultiVaultBank 合约和第 3 步一样,会先将合约中的 bCRV、cCRV 转换成以 3CRV 计价,由于在第 4 步中,USDC/3CRV 的价格已经被拉高,导致换算的过程中,ValueMultiVaultBank 合约中的 bCRV, cCRV 能换算成更多的 3CRV,也就是说使用同等份额的 mVUSD 可以换取更多的 3CRV;6. 拿到 3CRV 后,攻击者到 Curve 的 DAI/USDC/USDT 池中使用 3CRV 换回 DAI,并在 Uniswap 中兑换回 ETH,然后归还 Aave 的闪电贷 。总结:由于 Value DeFi 合约在铸币过程中将合约资产转换成 3CRV 时依赖 Curve DAI/USDC/USDT 池 中 USDC/3CRV 的价格,导致攻击者可以通过操控 Curve DAI/USDC/USDT 池 中 USDC/3CRV 的价格来操控 mVUSD/3CRV 的价值,从而获利。

慢雾:警惕 Tampermonkey 扩展的恶意 JavaScript 插件劫持盗币攻击

链闻消息,据慢雾区情报反馈,有人在 LocalBitcoins 进行交易时,被诱骗使用了一段所谓增强的 JavaScript 插件导致被盗比特币,该 JavaScript 插件可以在浏览器知名扩展 Tampermonkey (油猴)上方便使用。一旦使用,该恶意 JavaScript 即可篡改用户在 LocalBitcoins 上的比特币地址,达到劫持盗币攻击的目的。这段恶意 JavaScript 代码进行了多层加密与加花处理,肉眼看不出恶意行为,通过 xssor.io 进行解密后可以清晰看到「劫持盗币」的核心代码:document[_0x66e1x6("0x0")]("bitcoin-address bitcoin-address-controls")[0]["innerHTML"] = "1Ak8db781gfM3QutGwFsKuZg7YeUEoCvPw。

DeFi 借贷平台 ForTube 已通过慢雾科技的安全审计

链闻消息,慢雾安全团队宣布完成对 DeFi 借贷平台 ForTube 的安全审计。慢雾表示,经过严密的审计,我们认为 ForTube 业务逻辑清晰、代码实现规范,结构设计严谨,符合我们的各项安全审计标准,审计过程发现的几个安全问题,在和 ForTube 团队沟通后已协助修复。ForTube 是原力协议推出的 DeFi 借贷平台,致力于为全球的数字货币爱好者提供去中心化的数字货币借贷服务。
返回页面顶部
返回链闻首页