慢霧紅色提醒：發現 ETH 新型假充值的新攻擊手法_SUP

昨日2020/05/22慢霧安全團隊首發了ETH新型假充值攻擊revert的手法，慢霧安全團隊持續進行深入地研究，發現了利用Outofgas的攻擊手法。慢霧安全團隊建議：如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：2020/05/22慢霧安全團隊首發了revert的手法：1、針對使用合約進行ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬今日2020/05/23慢霧安全團隊首發了Outofgas的手法：2、針對使用合約進行ETH充值時，需要判斷內聯交易中是否有Outofgas的交易，如果存在Outofgas的交易，則拒絕入賬3、針對使用合約進行ETH充值時，需要判斷內聯交易中是否有Error字段的交易，如果存在Error字段的交易，則拒絕入賬4、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬針對使用合約進行ETH假充值時，除了revert和Outofgas的手法外，不排除未來有新的手法，慢霧安全團隊會持續保持關注和研究。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險，請警惕。

以太坊客戶端Prysm已通過慢霧安全審計：發現2個低風險和1個建議漏洞:金色財經報道，慢霧(SlowMist)宣布已正式完成了對以太坊共識層客戶端 Prysm 的安全審計服務，發現了2個低風險和1個建議漏洞，目前問題已得到解決，并由審計人員再次審查并通過。Prysm是當前用戶規模最大的以太坊客戶端，目前有超過 42% 的驗證節點都在使用 Prysm 驗證交易，由以太坊核心開發團隊 Prysmatic Labs 開發。[2023/2/23 12:23:48]

慢霧：警惕 Honeyswap 前端被篡改導致 approvals 到惡意地址風險:據慢霧區消息，Honeyswap官方推特發文，Honeyswap 前端錯誤導致交易到惡意地址 “0xD3888a7E6D6A05c6b031F05DdAF3D3dCaB92FC5B” ，目前官網仍未刪除該惡意地址，請立即停止使用Honeyswap進行交易，到revoke.cash排查是否有approvals 交易到惡意地址，避免不必要的損失。[2022/5/10 3:03:22]

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]

Tags：ENDSUPLENDPPLETHB LendSUPS價格lend幣交易行情AppleSwap AI

萊特幣最新價格