慢雾CISO：Telegram官方一个拼写错误导致另一文件格式绕过执行漏洞

4月12日消息，慢雾首席信息安全官（CISO） 23pds 在 X 平台发文表示，Telegram 官方一个拼写错误，导致的另一个文件格式绕过执行漏洞。请用户注意更新、注意安全。

其它快讯：

慢雾：DOD合约中的BUSD代币被非预期取出，主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报，2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下：

1. DOD 项目使用了一种特定的锁仓机制，当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁，若不满足以上条件，DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下，用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币，即转入的 DOD 代币数量越多获得的 BUSD 也越多。

2. 但由于 DOD 代币价格较低，恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。

3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中，以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。

4. 之后只需要调用 DOD 合约中的 swap 函数，将持有的 DOD 代币转入 DOD 合约中，既可取出 1/10 转入数量的 BUSD 代币。

5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。

本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 0:24:55]

知名区块链安全公司派盾、慢雾科技宣布参加HBTC Chain主网节点竞选:1月6日，据霍比特HBTC官方消息，知名区块链安全公司派盾、慢雾科技宣布参加HBTC Chain主网节点竞选，投票均已超过50万HBC，其中派盾节点名称PeckShield；慢雾科技节点名称SlowMist Zone。

截止至今日18:00，HBTC Chain主网节点投票竞选上线10天，成功竞选主网节点数量达16个，HBC总投票数量为6457124.38，HBC总投票质押率30.75%，质押价值已近2500万USDT。

HBTC Chain基于DPoS共识算法，精选优质节点作为HBTC Chain主网区块验证者。HBTC Chain将对竞选节点进行筛选及管理，意欲参选的项目方及个人可通过HBTC Chain节点竞选投票页面进行申请操作。更多详情请点击原文链接。[2021/1/6 16:34:50]

声音 | 慢雾区：目前已知5个LocalBitcoins账户被盗 损失约8个BTC:对于比特币OTC平台LocalBitcoins被黑事件，慢雾安全团队的分析：目前已知5个用户被盗（损失7.95205862 BTC），盗币攻击行为持续37分钟，被攻击的是LocalBitcoins的论坛(forums)，目前已下线，但主页还在持续提供服务。安全团队分析，初步怀疑是论坛出现XSS攻击，被盗币用户的页面触发了恶意JavaScript代码，由于论坛与主页在同一个域下，只要这类攻击触发，是可以比较容易盗走BTC的。LocalBitcoins的安全架构上犯了至少两个错误：第一个是：论坛这种高交互性的页面不应该和主页在同一个域下，应该分离出子域名形式；另一个是：主页相关重要功能模块加载了几个第三方JavaScript模块，只要任意一个第三方被黑或作恶，LocalBitcoins也能轻易被黑。[2019/1/27]

相关资讯