慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险

据慢雾区消息，Honeyswap官方推特发文，Honeyswap 前端错误导致交易到恶意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官网仍未删除该恶意地址，请立即停止使用Honeyswap进行交易，到revoke.cash排查是否有approvals 交易到恶意地址，避免不必要的损失。

慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险本文于9/19/2022 1:48:12 AM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢慢雾：警惕 Honeyswap 前端被篡改导致 approvals 到恶意地址风险,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。

相关快讯：

慢雾：DEUS Finance 二次被黑简析:据慢雾区情报，DEUS Finance DAO在4月28日遭受闪电贷攻击，慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作，兑换出了9547716.9个的DEI，由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后，攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷，由于borrow函数中用isSolvent进行借贷检查，而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC，获利离场。

针对该事件，慢雾安全团队给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。

慢雾：DEUS Finance 二次被黑简析本文于9/18/2022 9:19:41 PM被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢慢雾：DEUS Finance 二次被黑简析,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[4/28/2022 9:19:43 PM]

慢雾：SushiSwap 再次遭遇攻击:1月27日消息，据慢雾区情报，SushiSwap再次遭遇攻击，此次问题为DIGG-WBTC交易对的手续费被攻击者通过特殊的手段薅走。本次攻击和SushiSwap第一次攻击类似，都是通过操控交易对的兑换价格来产生获利，但是过程不一样，第一次攻击是因为攻击者使用LP代币本身和其他代币创建了一个新的交易对，并通过操纵初始流动性操控了这个新的交易对的价格来进行获利，而这次的攻击则利用了DIGG本身没有对WETH交易对，而攻击者创建了这个交易对并操控了初始的交易价格，导致手续费兑换过程中产生了巨大的滑点，攻击者只需使用少量的DIGG和WETH提供初始流动性即可获取巨额利润。

慢雾：SushiSwap 再次遭遇攻击本文于2021/1/27 17:32:19被区块链网收录,文章来源于网络,并不代表区块链网观点,如果你喜欢慢雾：SushiSwap 再次遭遇攻击,请分享给你的朋友们,区块链网精选网络区块链资讯、钱包、交易平台、项目等文章。[1/27/2021 5:32:20 PM]

声音 | 慢雾：Ghostscript存在多个漏洞:据慢雾区消息，Google Project Zero发布Ghostscript多个漏洞预警，远端攻击者可利用漏洞在目标系统执行任意代码及绕过安全限制。Ghostscript 9.26及更早版本都受影响。软件供应商已提供补丁程序。[1/24/2019 12:00:00 AM]

相关资讯