慢霧：PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊

幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊解析：這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取:12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

動態 | 慢霧：巨鯨被盜2.6億元資產，或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶（zhoujianfu）被盜價值2.6億元的BTC和BCH，慢霧安全團隊目前得到的推測如下：該大戶私鑰自己可以控制，他在Reddit上發了BTC簽名，已驗證是對的，且猜測是使用了一款很知名的去中心化錢包服務，而且這種去中心化錢包居然還需要SIM卡認證，也就是說有用戶系統，可以開啟基于SIM卡的短信雙因素認證，猜測可能是Blockchain.info，因為它吻合這些特征，且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報，Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節，包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

聲音 | 慢霧：Ghostscript存在多個漏洞:據慢霧區消息，Google Project Zero發布Ghostscript多個漏洞預警，遠端攻擊者可利用漏洞在目標系統執行任意代碼及繞過安全限制。Ghostscript 9.26及更早版本都受影響。軟件供應商已提供補丁程序。[2019/1/24]