FIN:慢霧：Polkatrain 薅羊毛事故簡析_Kohima Finance

鏈捕手消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題，接下來以快訊的形式分享給大家，供大家參考分析。

慢霧：Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋，Moonbirds 發布安全公告，Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣，而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架，如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。?

慢霧：BTFinance被黑，策略池需防范相關風險:據慢霧區情報，智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析，本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒，近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題，必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]

慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。

聲音 | 慢霧：ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息，ETC 51%攻擊后續：繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后，另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現：攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作，至此，持續近一周的 ETC 51% 陰云已散。[2019/1/16]

Tags：ETCFINAFINNANSynth sETCKohima FinanceSensible Finance[OLD]Squeezetoken Finance

Uniswap