慢霧：Poly Network被黑并非keeper私鑰泄露，而是跨鏈合約keeper可被修改_SPT:TSPT價格

鏈捕手消息，跨鏈互操作協議PolyNetwork遭到黑客攻擊，共計超6.1億美元轉出至3個地址，受此影響導致O3Swap跨鏈池大額資產被轉出。對此，慢霧安全團隊發布分析報告表示，這種攻擊主要是因為EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改，EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。

慢霧：警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報，在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置，經多方驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架，建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響，并盡快升級新版本。[2021/12/10 7:30:00]

因此，攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper，并非由于keeper的私鑰泄露而發生此事件。

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

動態 | 慢霧：Cryptopia被盜資金發生轉移:據慢霧科技反洗錢(AML)系統監測顯示，Cryptopia攻擊者分兩次轉移共20,843枚ETH，價值超380萬美元。目前資金仍停留在 0x90d78A49 和 0x6D693560 開頭的兩個新地址，未向交易所轉移。據悉，今年早些時候加密貨幣交易所Cryptopia遭受了黑客攻擊，價值超過1600萬美元的以太坊和ERC-20代幣被盜。[2019/11/17]

Tags：WBNBBNBSPTACHwbnb是騙局嗎togetherbnb可以和誰嘿嘿TSPT價格DeltaChain

以太坊價格今日行情