慢霧：Rubic 協議錯誤地將 USDC 添加進 Router 白名單，致授權給 RubicProxy 合約的用戶的 USDC 被竊取_TER

ForesightNews消息，據慢霧安全團隊情報，2022年12月25日，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC代幣被竊取。慢霧安全團隊以簡訊的形式分享如下：1.Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native代幣兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標Router是否在協議的白名單中。2.經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。3.但不幸的是USDC代幣也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC代幣。4.因此惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC代幣通過transferFrom接口轉移至惡意用戶賬戶中。此次攻擊的根本原因在于Rubic協議錯誤的將USDC代幣添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC代幣被竊取。

慢霧：共享Apple ID導致資產被盜核心問題是應用沒有和設備碼綁定:5月19日消息，慢霧首席信息安全官23pds發推表示，針對共享Apple ID導致資產被盜現象，核心問題是應用沒有和設備碼綁定，目前99%的錢包、交易App等都都存在此類問題，沒有綁定就導致數據被拖走或被惡意同步到其他設備導致被運行，攻擊者在配合其他手法如社工、爆破等獲取的密碼，導致資產被盜。23pds提醒用戶不要使用共享Apple ID等，同時小心相冊截圖被上傳出現資產損失。[2023/5/19 15:13:08]

慢霧：警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報，近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，當前總損失約 431 萬美金。

經過慢霧安全追蹤分析確認，此次攻擊為批量谷歌關鍵詞廣告投放釣魚，用戶在谷歌搜索如：astroport，nexus protocol，anchor protocol 等這些知名的 Terra 項目，谷歌結果頁第一條看似正常的廣告鏈接（顯示的域名甚至是一樣的）實為釣魚網站。 一旦用戶不注意訪問此釣魚網站，點擊連接錢包時，釣魚網站會提醒直接輸入助記詞，一旦用戶輸入并點擊提交，資產將會被攻擊者盜取。

慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接，減少使用常用錢包進行非必要的操作，避免不必要的資損。[2022/4/21 14:37:55]

慢霧：ERC721R示例合約存在缺陷，本質上是由于owner權限過大問題:4月12日消息，據@BenWAGMI消息，ERC721R示例合約存在缺陷可導致項目方利用此問題進行RugPull。據慢霧安全團隊初步分析，此缺陷本質上是由于owner權限過大問題，在ERC721R示例合約中owner可以通過setRefund Address函數任意設置接收用戶退回的NFT地址。

當此退回地址持有目標NFT時，其可以通過調用refund函數不斷的進行退款操作從而耗盡用戶在合約中鎖定的購買資金。且示例合約中存在owner Mint函數，owner可在NFT mint未達總供應量的情況下進行mint。因此ERC721R的實現仍是防君子不防小人。慢霧安全團隊建議用戶在參與NFTmint時不管項目方是否使用ERC721R都需做好風險評估。[2022/4/12 14:19:58]

Tags：TERRubicBICUBIbiteternityQubiclesUbisoft

fil幣價格今日行情