安全團隊：建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權_POO:imkeypro是什么

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月9日，Sushiswap項目遭到攻擊，部分授權用戶資產已被轉移。根本原因是由于合約的值lastCalledPool重置在校驗之前，導致合約中針對pool的檢查失效，從而允許攻擊者swap時指定惡意pool轉出授權用戶資金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8為例：1.攻擊者在約30天前創建了惡意pool合約2.調用SushiSwap的路由函數processRoute進行swap，指定了創建的惡意合約為pool合約3.最后在swap后惡意合約調用uniswapV3SwapCallback，指定tokenIn為WETH，from地址為受害者用戶地址(sifuvision.eth)，從而利用受害用戶對路由合約的授權轉移走資金。建議用戶取消不同鏈上SushiswapRouteProcessor2合約的授權。

安全團隊：警惕假冒大V@DesLucrece賬號和釣魚鏈接:據官方推特消息，CertiK監測到某釣魚網站：https://heymint[.]cc/deslucrece，該網站曾用推特賬號@DezLucrece進行推廣，而該推特賬號正在模仿推特大V@DesLucrece，請注意區分，并不要與該釣魚網站互動或批準任何交易！[2023/1/26 11:30:27]

安全團隊：FEI Protocol項目攻擊者通過Tornado Cash 轉移了21000枚 ETH:金色財經消息，據CertiK安全團隊監測，FEI Protocol項目攻擊者通過Tornado Cash 轉移了21000枚 ETH（價值約4200萬美元）。目前仍有約1570枚ETH未曾轉移。

錢包地址：

ETH：

0x6162759edad730152f0df8115c698a42e666157f。[2022/5/23 3:35:13]

慢霧安全團隊發布 BEC智能合約無限轉幣漏洞分析及預警:據了解，4月22日13時左右，BEC出現異常交易。慢霧安全團隊第一時間分析發現，BEC智能合約(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量轉賬函數存在漏洞，攻擊者可傳入很大的value數值，使cnt*value后超過unit256的最大值使其溢出導致amount變為0。

通過此次分析，慢霧安全團隊建議智能合約開發者在批量轉賬時嚴格校驗轉出總額amount是否大于0，及在for循環內執行balances[msg.sender].sub(value)操作。

這類漏洞屬于不可逆的破壞型漏洞，慢霧安全團隊建議其他智能合約發布方及時自查。[2018/4/23]

Tags：SWAPETHPROPOOThe Swapperyluckyethereumimkeypro是什么POOL

DOGE