DEFI:慢雾：警惕DeFi挖矿钓鱼授权盗币攻击_DEFLCT价格

据慢雾区情报，由于DeFi挖矿项目的火热，除了仿盘以外，目前已经出现了针对以太坊DeFi挖矿的钓鱼攻击，攻击者通过新建一个挖矿项目，诱导用户授权给项目本身，其实是授权给了一个攻击者自己可控的地址，在授权完成后，用户资金会被立即转出。经慢雾安全团队分析，目前该网站诱导用户授权给地址0x59DFd93D34DFF5D36dEdD539425a7D7D2a77B3e5，该地址并为合约地址，而是一个攻击者控制的普通的个人地址。通过区块浏览器查询显示，已有20万枚USDC和52枚YAMV2转移。慢雾安全团队提醒，用户在操作DeFi项目时，一定要对项目本身进行足够的了解，并需注意该项目是否通过安全审计，并在授权时，对授权对象进行核对，确认是项目方的地址，避免资金损失。

慢雾：PREMINT攻击者共窃取约300枚NFT，总计获利约280枚ETH:7月18日消息，慢雾监测数据显示，攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT，卖出后总计获利约280枚ETH。此前报道，黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击，从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

慢雾：ERC721R示例合约存在缺陷，本质上是由于owner权限过大问题:4月12日消息，据@BenWAGMI消息，ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析，此缺陷本质上是由于owner权限过大问题，在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。

当此退回地址持有目标NFT时，其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数，owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]

慢雾：Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函数相关问题:据Multichain(AnySwap)早前消息，2022年01月18日，一个影响6个跨链Token的关键漏洞正在被利用。慢雾安全团队进行分析后表示，此次主要是由于anySwapOutUnderlyingWithPermit函数为检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。[2022/1/19 8:57:49]

标签：DEFIEFIDEFSDCLibre DeFidefi communityDEFLCT价格sdc币交易

DAI热门资讯