慢霧分析Vee.Finance被攻擊漏洞：預言機價格源單一且數據獲取未進行小數處理_FIN:VEE

鏈捕手消息，安全分析機構SlowMist針對雪崩生態借貸項目Vee.Finance被攻擊事件發布報告。分析稱主要原因在于，在創建杠桿交易訂單的過程中，預言機僅使用Pangolinpool的價格作為價格饋送源，而該池價格波動超過3%。預言機會刷新價格，導致攻擊者操縱了Pangolinpool的價格。而操縱VeeFinance預言機價格和收購預言機價格沒有進行小數處理，導致掉期前預期的滑點檢查沒有起作用。

慢霧創始人余弦：助記詞/私鑰等敏感信息交給對安全不夠負責任的錢包來守護簡直就是諷刺:金色財經報道，慢霧創始人余弦在社交媒體上針對Atomic Wallet被盜事件稱，又一個知名錢包出現嚴重被盜事件，助記詞/私鑰如此敏感的信息交給對安全不夠負責任或安全等級不足夠高的錢包來守護，簡直就是諷刺。這里的信息不對稱太嚴重了，連我都難以回答哪些錢包是持續安全的...

助記詞/私鑰就應該躲在加密芯片、離線環境或可信環境里，用多簽/MPC去單點故障也行。

金色財經此前報道，根據ZachXBT統計的數據，Atomic Wallet鏈上被盜資金已經超過1400萬美元，估計至少有2000萬美元被盜。[2023/6/4 21:14:36]

繞過對合約調用的檢查，以及保證金交易的目標對未列入白名單是該次事故的間接原因。

動態 | 慢霧：10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示，過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊，手法包括但不限于：第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施，例如：1. 密切注意第三方 JS 鏈接風險；2. 提幣地址應為白名單地址，添加時設置雙因素校驗，用戶提幣時從白名單地址中選擇，后臺嚴格做好校驗。此外，也要多加注意內部后臺的權限控制，防止內部作案。[2019/11/1]

此前9月20日，Vee.Finance遭遇攻擊，價值超過3500萬美元的資產被盜。慢霧表示，目前正在協助Vee.Finance進行攻擊分析和黑客跟蹤。

聲音 | 慢霧安全團隊：區塊鏈生態系統自愈能力其實很強:據火訊財經報道，慢霧安全團隊在回應于佳寧關于區塊鏈生態安全問題最嚴重的情況時表示：“區塊鏈生態安全發生危險最嚴重的就是團隊資金破產及信譽破產，但是，有時候安全這東西也沒那么夸張，一個生態之所以是生態，就具備生態的一個屬性：自愈能力其實很強。”[2018/7/3]

Tags：FINAFINVEEANCYearn Finance NetworkBfineVEE幣Metaple Finance

波場