慢霧首席信息安全官：警惕知名項目方推特下方的留言釣魚

金色財經報道，據慢霧首席信息安全官23pds在社交媒體發文表示，警惕任何知名項目方推特下方的留言釣魚。近期慢霧團隊陸續收到被盜求助，分析被盜后發現多數原因是知名項目方推特下方的留言釣魚導致。

釣魚團伙擁有成熟的黑市、購買認證過的項目方名稱類似的推特賬號、自動化機器人盯盤知名項目方動態、項目方發布推特，黑產機器人自動化第一時間留言（確保占位第一條留言位置） 。加之用戶不注意區分釣魚推特名稱，打開、授權、簽名然后被盜。

其它快訊：

慢霧余弦：閃電網絡的替換循環攻擊類似MEV的三明治攻擊，需警惕被夾風險:10月22日消息，慢霧創始人余弦在社交媒體上發文表示，閃電網絡出現了替換循環攻擊，與 MEV 里的三明治攻擊有些相似，利用前后夾擊套出被夾目標的資金。

這一攻擊方式的實施并不容易，需要滿足以下條件：

· 在受害者身上打開兩個通道。

· 通過這兩個通道中的其中一個路由付款。

· 成功替換循環受害者的 HTLC-timeouts 在Δ blocks 內。

· 同時，需要確保受害者不會發現 HTLC 預映像交易。

這個風險在被修復之前，使用閃電網絡的項目方在對接上下游建立通道前可以警惕下，最好和有信譽的建立，降低被夾風險，具體情況還需要進一步的測試和驗證。[2023/10/22 17:09:48]

慢霧余弦：沒驗證過的安全機制不是靠譜的安全機制:金色財經報道，慢霧創始人余弦在X平臺（原推特）表示，Vitalik推特號還真是被SIM Swap攻擊了，幾個細節：手機SIM卡是T-Mobile的，這個在暗網可能5K美金就可以做一次SIM Swap攻擊；這個手機號雖然沒拿來做 2FA，但是被用于重置了推特權限，之前他沒意識到還能這樣；他忘記什么時候添加的手機號。

從這可以學習到：沒驗證過的安全機制不是靠譜的安全機制；任何人都有踩坑的時候；人會撒謊，更別提代表人的社交賬號，可能你看到的賬號動態已經不是這個人本身的意愿，一定要保持懷疑且持續驗證，尤其看到一個陌生鏈接。[2023/9/12 11:26:49]

慢霧xToken被黑事件分析：兩個合約分別遭受“假幣”攻擊和預言機操控攻擊:據慢霧區消息，以太坊 DeFi 項目 xToken 遭受攻擊，損失近 2500 萬美元，慢霧安全團隊第一時間介入分析，結合官方事后發布的事故分析，我們將以通俗易懂的簡訊形式分享給大家。

本次被黑的兩個模塊分別是 xToken 中的 xBNTa 合約和 xSNXa 合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。

一）xBNTa 合約攻擊分析

1. xBNTa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 BNT，使用的是 Bancor Netowrk 進行兌換，并根據 Bancor Network 返回的兌換數量進行鑄幣。

2. 在 mint 函數中存在一個 path 變量，用于在 Bancor Network 中進行 ETH 到 BNT 的兌換，但是 path 這個值是用戶傳入并可以操控的

3. 攻擊者傳入一個偽造的 path，使 xBNTa 合約使用攻擊者傳入的 path 來進行代幣兌換，達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用 ETH/BNT 交易對進行兌換的限制，進而達到任意鑄幣的目的。

二）xSNXa 合約攻擊分析

1. xSNXa 合約存在一個 mint 函數，允許用戶使用 ETH 兌換 xSNX，使用的是 Kyber Network 的聚合器進行兌換。

2. 攻擊者可以通過閃電貸 Uniswap 中 ETH/SNX 交易對的價格進行操控，擾亂 SNX/ETH 交易對的報價，進而擾亂 Kyber Network 的報價。從而影響 xSNXa 合約的價格獲取

3. 攻擊者使用操控后的價格進行鑄幣，從而達到攻擊目的。

總結：本次 xToken 項目被攻擊充分展現了 DeFi 世界的復雜性，其中針對 xSNXa 的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議 DeFi 項目開發團隊在進行 DeFi 項目開發的時候要做好參數校驗，同時在獲取價格的地方需要防止預言機操控攻擊，可使用 Uniswap 和 ChainLink 的預言機進行價格獲取，并經過專業的安全團隊進行審計， 保護財產安全。詳情見官網。[2021/5/13 21:57:48]