慢雾：上周（4月22日-4月28日）安全事件损失总额超215万美元

[慢雾：上周（4月22日-4月28日）安全事件损失总额超215万美元]金色财经报道，据慢雾发布的每周安全报告（2024年4月22日-4月28日），本周又发生了多起安全事故。总体损失并不严重，本周总损失超过2,155,127美元。多起安全事件包括：

1.Ember Sword NFT拍卖被利用：未经验证的Ember Sword NFT拍卖中存在漏洞，导致159名受害者损失了60枚WETH，价值约为195,000美元。

2.Pike Finance的跨链攻击：跨链借贷协议Pike Finance遭到黑客攻击，导致USDC池资金耗尽，损失总计299,127美元。

3.xBank Finance被怀疑存在欺诈行为：zkSync生态借贷平台xBank Finance被怀疑存在欺诈行为，官方账户被冻结，流动性资产降至个位数

。4.io(.)net元数据泄露：该项目经历了一起安全事件，涉及未经授权的元数据更新，源于用户ID到设备ID的映射被利用。

5.BSC上的YIEDL被利用：币安智能链上的YIEDL项目遭到攻击者利用合约漏洞攻击，造成约30万美元损失。

6.FENGSHOU代币漏洞：部署后不久，FENGSHOU（NGFS）代币就遭到攻击，造成约19.1万美元的损失。

7.Z123合约被利用：币安智能链上的Z123因合约漏洞遭受攻击，损失约13.6万美元。

8.Magpie Protocol合约漏洞：去中心化流动性聚合协议Magpie Protocol因合约漏洞遭遇攻击，导致221个钱包损失12.9万美元。

9.Velvet Capital的前端攻击：DeFi资产管理协议Velvet Capital的交易平台报告出现异常活动。

10.Merlin Chain的Discord入侵：Merlin Chain的官方Discord服务器遭到攻击。

11.XBridge的可疑交易：跨链桥XBridge发生多起可疑交易，共计损失82.4万美元。

其它快讯：

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 10:09:08]

慢雾：DOD合约中的BUSD代币被非预期取出，主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报，2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下：

1. DOD 项目使用了一种特定的锁仓机制，当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁，若不满足以上条件，DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下，用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币，即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低，恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中，以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数，将持有的 DOD 代币转入 DOD 合约中，既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 0:24:55]

慢雾：Furucombo被盗资金发生异动，多次使用1inch进行兑换:据慢雾MistTrack，2月28日攻击Furucombo的黑客地址（0xb624E2...76B212）于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH，并将147ETH从Compound转入到自己的地址，截至目前该黑客地址余额约170万美元，另一个黑客地址余额为约1200万美元。[2021/3/3 9:25:06]

郑重声明： 慢雾：上周（4月22日-4月28日）安全事件损失总额超215万美元版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。