慢霧分析Poly Network被攻擊根源：跨鏈合約Keeper可被黑客修改，隨意構造交易_BLU

鏈捕手消息，安全分析團隊慢霧發布PolyNetwork被攻擊事件的分析報告。慢霧認為，該攻擊瞄準的潛在漏洞是EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。

慢霧CISO：Vyper官方文檔推薦的是一個錯誤版本:7月31日消息，據慢霧首席信息安全官23pds發推稱，Vyper官方文檔推薦的實際上是一個錯誤的版本。[2023/7/31 16:08:31]

因此，攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper，替換keeper角色的地址后，攻擊者可以隨意構造交易，從合約中提取任意數量的資金。而keeper的私鑰泄漏并非該事件根源。

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

昨日，跨鏈互操作性協議PolyNetwork在以太坊、BSC與Polygon部署的智能合約同時遭到黑客攻擊，價值超過5.9億美元的USDC、ETH等資產被黑客轉移。該攻擊為DeFi迄今為止最嚴重的安全事故。

慢霧：有用戶遭釣魚攻擊，在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息，有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析，此是由于該受害用戶遭受釣魚攻擊，錯誤的對攻擊者精心構造的惡意訂單進行簽名，惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配，并以攻擊者指定的極低價格成交，導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

Tags：NFTBLUBLUROSSfio幣NFTDoge Blueblur幣有沒有前景oss幣交易

幣安app官方下載最新版