EOS:慢霧發布 Spartan Protocol 被攻擊過程簡報_TSPT

鏈聞消息，慢霧團隊發布了SpartanProtocol被攻擊過程的簡報，具體如下：1.攻擊者通過閃電貸先從PancakeSwap中借出WBNB2.在WBNB-SPT1的池子中，先使用借來的一部分WBNB不斷的通過swap兌換成SPT1，導致兌換池中產生巨大滑點3.攻擊者將持有的WBNB與SPT1向WBNB-SPT1池子添加流動性獲得LP憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的LP數量并不是一個正常的值4.隨后繼續進行swap操作將WBNB兌換成SPT1，此時池子中的WBNB增多SPT1減少5.swap之后攻擊者將持有的WBNB和SPT1都轉移給WBNB-SPT1池子，然后進行移除流動性操作6.在移除流動性時會通過池子中實時的代幣數量來計算用戶的LP可獲得多少對應的代幣，由于步驟5，此時會獲得比添加流動性時更多的代幣7.在移除流動性之后會更新池子中的baseAmount與tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值8.因此在與實際有差值的情況下還能再次添加流動性獲得LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣9.之后攻擊者只需再將SPT1代幣兌換成WBNB，最后即可獲得更多的WBNB

動態 | 慢霧安全團隊發現新型公鏈攻擊手法“異形攻擊”:慢霧安全團隊發現針對公鏈的一種新型攻擊手法“異形攻擊”（又稱地址池污染），是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法，漏洞的主要原因是同類鏈系統在通信協議上沒有對非同類節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現，以太坊同類鏈，由于使用了兼容的握手協議，無法區分節點是否屬于同個鏈，導致地址池互相污染，節點通信性能下降，最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測，以免出現影響主網穩定的攻擊事件出現。[2019/4/18]

動態 | 慢霧安全團隊剖析EOS 合約競猜類游戲 FFgame 被攻擊事件:據慢霧安全團隊消息，針對 EOS 合約競猜類游戲 FFgame 被攻擊事件的剖析，慢霧安全團隊通過與 FIBOS 創始人響馬的交流及復測推測：攻擊者通過部署攻擊合約并且在合約中使用與 FFgame 相同算法計算隨機數，產生隨機數后立即在 inline_action 中使用隨機數攻擊合約，導致中獎結果被“預測”到，從而達到超高中獎率。該攻擊者從第一次出現盜幣就已經被慢霧監控賬戶變動，在今日凌晨（11.8 號）已經第一時間將威脅情報同步給相關交易所平臺。

慢霧安全團隊提醒類似開發者：不要引入可控或可預測隨機數種子，任何僥幸都不應該存在。[2018/11/8]

動態 | 慢霧安全團隊預警：EOS智能合約遭受溢出攻擊:據慢霧安全團隊消息，EOS Fomo3D 游戲合約遭受溢出攻擊，資金池變成負數，由于合約未開源無法確認更多細節，請注意風險。慢霧安全團隊呼吁 EOS 智能合約安全需引起重視。[2018/7/25]

Tags：BNBWBNBSPTEOSBNBBACKwbnb和bnb區別TSPTPoker EOS

比特幣行情