安全公司Zellic發現WETH中一個輕微且無害的錯誤

11月19日消息，安全公司Zellic研究發現了WETH中一個輕微且無害的錯誤，由于不考慮SELFDESTRUCT/coinbase eth傳輸，通過SELFDESTRUCT（自毀）函數將ETH注入WETH合約中，會增加合約中的ETH余額，但不會鑄造任何新Token，使得WETH合約中totalSupply函數變量不同步，即WETH Token的總量是小于或等于WETH中的原生ETH余額。

目前在整個以太坊主網上，WETH已參與超過1.25億筆交易，有超過7%的以太坊交易涉及WETH；此外，在過去一年中，在4.2億次以太坊交易中，其中的11.5%涉及WETH。

其它快訊：

安全公司：TetherClaims[.]com和TetherLP[.]com是釣魚網站:金色財經報道，PeckShield在社交媒體上稱，PeckShield已經檢測到TetherClaims[.]com和TetherLP[.]com是釣魚網站。惡意行為者濫用事件日志來偽造Etherscan上顯示的轉賬。這些代幣并非由Tether發行的USDT穩定幣。[7/26/2022 10:02:17 AM]

網絡安全公司報告：俄羅斯遭到加密惡意軟件攻擊數量最多:6月14日消息，隨著加密貨幣受到越來越多人的關注，試圖從中獲利的惡意軟件數量也有所增加。這種安全威脅始于2020年下半年，并在2021年持續。網絡安全公司ESET發布的報告指出，其監測的客戶設備中，受與加密貨幣有關的惡意軟件攻擊次數最多的是俄羅斯客戶，占比8.9%，其次是泰國和秘魯，占比分別為5.6%和5.3%。[6/14/2021 11:28:25 AM]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[8/25/2020 12:00:00 AM]