BNB:慢霧：Mina 生態錢包 Clorio 的舊版本存在私鑰安全漏洞_CSWAP價格

據慢霧區情報，受MinaJavaScriptclient-sdkv1.0.1之前版本的弱熵問題影響，目前社區已有多人反饋錢包私鑰被竊取，慢霧安全團隊經過調查發現：使用ClorioWalletv0.1.1，ClorioWalletv0.1.0版本創建的錢包將存在被盜風險。

慢霧：Poly Network再次遭遇黑客攻擊，黑客已獲利價值超439萬美元的主流資產:金色財經報道，據慢霧區情報，Poly Network再次遭遇黑客攻擊。分析發現，主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析，ETH鏈第一筆手續費為Tornado Cash: 1 ETH，BSC鏈手續費來源為Kucoin和ChangeNOW，Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前，部分被盜Token （sUSD、RFuel、COOK等）被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產，剩余被盜資金被分散到多條鏈60多個地址中，暫未進一步轉移，全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

建議有使用ClorioWalletv0.1.1，ClorioWalletv0.1.0(2021年5月28日)創建錢包的用戶確保將錢包更新到最新版本(ClorioWalletv1.0.0)，并且重新創建新的錢包地址，將資金轉移到新創建的錢包地址上以保證資產安全。存在漏洞的錢包版本為ClorioWallet<v0.1.2，存在漏洞的client-sdk版本為o1labs/client-sdk<1.0.1。

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

分析 | 慢霧：攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析，從DragonEx公布的“攻擊者地址”的分析來看，20 個幣種都被盜取（但還有一些DragonEx可交易的知名幣種并沒被公布），從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同，攻擊持續的時間至少有1天，但能造成這種大面積盜取結果的，至少可以推論出：攻擊者拿下了DragonEx盡可能多的權限，更多細節請留意后續披露。[2019/3/26]

Tags：BNBWBNBSPTSWAPBNBEERwbnb和bnb區別TSPT幣CSWAP價格

火幣APP下載