慢霧：大部分錢包仍支持存在盲簽欺詐風險的eth_sign簽名功能

慢霧安全團隊表示，在加密貨幣NFT板塊，越來越多的釣魚網站濫用eth_sign簽名功能來進行盲簽欺詐，提醒或禁用這種低級的簽名方法對于保護用戶安全至關重要，不少Web3錢包已經采取相關措施來對這種危險的簽名方法進行安全提示和限制。但仍有一大部分加密錢包支持eth_sign，其中少部分錢包提供eth_sign安全風險警告。

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

根據慢霧對20個熱門加密貨幣錢包應用程序在GooglePlay上的測試，發現4個加密錢包App選擇禁用對eth_sign支持。16個加密錢包App支持eth_sign。其中，4個加密錢包擴展提供eth_sign安全警告，其他12個沒有提供安全警告。此外，根據慢霧對ChromeWebStore中20個加密錢包Chrome擴展的測試，發現5個加密錢包擴展選擇禁用了對eth_sign支持。15個加密錢包擴展支持eth_sign。其中，6個加密錢包擴展提供了eth_sign安全警告，其他9個沒有提供安全警告。

慢霧：Badger DAO黑客已通過renBTC將約1125 BTC跨鏈轉移到10 個BTC地址:12月2日消息，Badger DAO遭遇黑客攻擊，用戶資產在未經授權的情況下被轉移。據慢霧MistTrack分析，截止目前黑客已將獲利的加密貨幣換成 renBTC，并通過renBTC 將約 1125 BTC 跨鏈轉移到 10 個 BTC 地址。慢霧 MistTrack 將持續監控被盜資金的轉移。[2021/12/2 12:46:11]

慢霧稱，如果用戶仍想要使用eth_sign，他們可以選擇支持該功能的加密錢包。但是，用戶在使用這些錢包時需要特別注意安全警告，以確保其交易的安全性。

動態 | 慢霧：9 月共發生 12 起較典型的安全事件，供應鏈攻擊趨勢愈發明顯:過去的 9 月區塊鏈生態共發生 12 起較典型的安全事件，包括：EOSPlay 遭受新型隨機數攻擊、資金盤項目 FairWin 智能合約權限管理缺陷、EOS 黑名單賬號 craigspys211 利用新晉 BP 黑名單缺陷轉移走 19.999 萬枚 EOS 等典型安全事件。此外，慢霧區塊鏈威脅情報(BTI)系統監測發現，針對區塊鏈生態的供應鏈攻擊越來越多，形如：去年 11 月慢霧披露的污染 NPM 模塊 EventStream、今年 7 月披露的對數字貨幣錢包 Agama 構建鏈的攻擊、今年 8 月披露的針對數字貨幣行情/導航站的 URL 劫持攻擊，還有 9 月慢霧披露的針對交易所使用的第三方統計、客服 js 的惡意代碼植入，進行實施盜幣攻擊。[2019/10/1]

Tags：BTCETHSIGWBTBTC是啥縮寫ethylideneInsight AIWBTC

Luna