慢霧余弦：警惕Solana鏈上項目釣魚網站

金色財經報道，慢霧創始人余弦在社交媒體上發文表示，再次提醒下，Solana最近很火，釣魚網站也多，一些人中招損失不小，一筆簽名可以幾乎轉走你目標錢包地址里的所有資產，Solana的特性就是這樣，方便得很。

其它快訊：

慢霧：ERC721R示例合約存在缺陷，本質上是由于owner權限過大問題:4月12日消息，據@BenWAGMI消息，ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析，此缺陷本質上是由于owner權限過大問題，在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時，其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數，owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[4/12/2022 10:07:34 PM]

慢霧發布Value DeFi協議閃電貸攻擊簡要分析:據慢霧區消息，Value DeFi遭遇閃電貸攻擊的分析如下：

1.攻擊者先從Aave中借出8萬個ETH；

2.攻擊者使用8萬個ETH在Uniswap WETH/DAI池中用閃電貸借出大量DAI和在Uniswap WETH/DAI兌換大量USDT；

3.用戶調用ValueMultiVaultBank合約的deposit合約使用第2步中小部分DAI進行充值，該合約中一共有3種資產，分別是3CRV、bCRV、和cCRV。該合約在鑄幣時會將bCRV, cCRV轉換成以3CRV進行計價，轉換完成后，Value Defi合約根據總的3CRV價值和攻擊者充值的DAI數量計算mVUSD鑄幣的數量；

4.攻擊者在Curve DAI/USDC/USDT池先使用第二步中剩余的大部分DAI和USDT兌換USDC，拉高USDC/3CRV的價格；

5.攻擊者發起3CRV提現，這時會先將合約中的bCRV, cCRV轉換成以3CRV計價，由于USDC/3CRV價格已被拉高，導致bCRV, cCRV能換算成更多的3CRV；

6.攻擊者使用3CRV換回DAI，并在Uniswap中兌換回ETH，然后歸還Aave的閃電貸 。

總結：由于 Value Defi 合約在鑄幣過程中將合約資產轉換成 3CRV 時依賴 Curve DAI/USDC/USDT 池 中 USDC/3CRV的價格，導致攻擊者可以通過操控 Curve DAI/USDC/USDT 池 中 USDC/3CRV 的價格來操控 mVUSD/3CRV 的價值，從而獲利。[11/15/2020 8:52:09 PM]

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”，慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊，但以太坊上智能合約不受影響，因為以太坊網絡Gas值尚在正常范圍內。目前，Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證，用戶需等待5秒才能訪問網站。據悉，5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[7/31/2018 12:00:00 AM]