慢霧首席信息安全官：注意UniSat Wallet升級釣魚風險

金色財經報道，據慢霧首席信息安全官23pds在社交媒體上發文表示，注意UniSat Wallet升級釣魚風險，近日我們注意到unisat wallet提醒用戶升級\"The current version(1.1.33) is no longer maintained. To ensure the security of your assets, please upgrade to version 1.2.4 as soon as possible.\"

但是大量用戶在插件市場或群聊留言不知道如何升級此錢包，這就給釣魚團伙有可乘之機，伺機釣魚。我們提醒廣大用戶請到官網或官方Github重新下載最新版安裝，不要輕信任何群聊或不明安裝鏈接。

其它快訊：

慢霧：過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息，據慢霧統計，上周加密領域因遭遇攻擊累計損失3060萬美元，攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜（損失2300萬美元）、Conic Finance遭閃電貸攻擊（損失30萬美元）以及重入攻擊（損失320萬美元）、GMETA發生RugPull（損失360萬美元）、BNO遭閃電貸攻擊（損失50萬美元）等。[2023/7/24 15:55:56]

慢霧：Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日，慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中，用戶可以通過deposit函數抵押BPT代幣；

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子，并使用accRewardsPerToken來記錄累計獎勵；

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄；

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押；

5.此時攻擊者將第二次進行deposit，并通過claimRewards提取獎勵；

6.問題出在rewardWriteoff的具體計算，在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory，此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值；

7.由于memory中獲取的Pool值是舊的，其對應記錄的accRewardsPerToken也是舊的會賦值到miner；

8.之后再進行新的一次updatePool時，由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小，所以最后獲得的accRewardsPerToken將變大；

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值，在進行rewardWriteoff計算時獲得的值也將偏小，但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值；

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值，會導致計算出一個偏大的數值；

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣，導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]

動態 | 慢霧預警：競技類游戲 WinDice 遭遇回滾攻擊:根據慢霧威脅情報系統捕獲，今天下午 2、3 點，競技類游戲 WinDice 遭遇回滾攻擊。攻擊者通過部署攻擊合約 rep******net 攻擊項目方合約 windiceadmin，共獲利 300 多枚 EOS，目前攻擊者數個關聯賬號已列入慢霧 BTI 系統黑名單庫，慢霧安全團隊提醒類似項目方全方面做好合約安全審計并加強風控策略。[2019/2/4]