BUNNY:慢雾分析Poly Network被黑：事件原因并非keeper私钥泄露，而是跨链合约keeper可被修改

巴比特讯，8月10日晚间，跨链互操作协议PolyNetwork遭到黑客攻击，共计超6.1亿美元转出至3个地址，受此影响导致O3Swap跨链池大额资产被转出。对此，慢雾安全团队发布分析报告表示，这种攻击主要是因为EthCrossChainData合约的keeper可以被EthCrossChainManager合约修改，EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可以通过_executeCrossChainTx函数来执行用户传入的数据。因此，攻击者利用该函数传入精心构造的数据来修改EthCrossChainData合约的keeper，并非由于keeper的私钥泄露而发生此事件。

慢雾：PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击，慢雾安全团队解析：这是一次典型的利用闪电贷操作价格的攻击，其关键点在于WBNB-BUNNYLP的价格计算存在缺陷，而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式，最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格，使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议，在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]

动态 | 慢雾： 警惕利用EOS及EOS上Token的提币功能恶意挖矿:近期由于EIDOS空投导致EOS主网CPU资源十分紧张，有攻击者开始利用交易所/DApp提币功能恶意挖矿，请交易所/DApp在处理EOS及EOS上Token的提币时，注意检查用户提币地址是否是合约账号，建议暂时先禁止提币到合约账号，避免被攻击导致平台提币钱包的CPU资源被恶意消耗。同时，需要注意部分交易所的EOS充值钱包地址也是合约账号，需要设置白名单避免影响正常用户的提币操作。[2019/11/6]

声音 | 慢雾预警：攻击者喊话所有链上伪随机数(PRNG)都可被攻击:攻击者 floatingsnow 向自己的子账号 norealrandom、dolastattack 转账并在 memo 中喊话：hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num

从账号名称和 memo 可知攻击者对目前 EOS DApp 链上随机数方案了如指掌，攻击者指出 tapos_block_prefix/tapos_block_num 均不安全，并提议 b1 新增 get_current_blockid / get_blockhash_by_id 接口。[2019/1/16]

标签：BUNNYUNNBUNEOSBunnyCoinCrazy BunnyRBUNNY价格neos币什么情况

币赢交易所热门资讯