慢霧CISO：Vyper官方文檔推薦的是一個錯誤版本

7月31日消息，據慢霧首席信息安全官23pds發推稱，Vyper官方文檔推薦的實際上是一個錯誤的版本。

慢霧：Equalizer Finance被黑主要在于FlashLoanProvider合約與Vault合約不兼容:據慢霧區消息，6 月 7 日，Equalizer Finance 遭受閃電貸攻擊。慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1. Equalizer Finance 存在 FlashLoanProvider 與 Vault 合約，FlashLoanProvider 合約提供閃電貸服務，用戶通過調用 flashLoan 函數即可通過 FlashLoanProvider 合約從 Vault 合約中借取資金，Vault 合約的資金來源于用戶提供的流動性。

2. 用戶可以通過 Vault 合約的 provideLiquidity/removeLiquidity 函數進行流動性提供/移除，流動性提供獲得的憑證與流動性移除獲得的資金都受 Vault 合約中的流動性余額與流動性憑證總供應量的比值影響。

3. 以 WBNB Vault 為例攻擊者首先從 PancekeSwap 閃電貸借出 WBNB

4. 通過 FlashLoanProvider 合約進行二次 WBNB 閃電貸操作，FlashLoanProvider 會先將 WBNB Vault 合約中 WBNB 流動性轉給攻擊者，隨后進行閃電貸回調。

5. 攻擊者在二次閃電貸回調中，向 WBNB Vault 提供流動性，由于此時 WBNB Vault 中的流動性已經借出一部分給攻擊者，因此流動性余額少于預期，則攻擊者所能獲取的流動性憑證將多于預期。

6. 攻擊者先歸還二次閃電貸，然后從 WBNB Vault 中移除流動性，此時由于 WBNB Vault 中的流動性已恢復正常，因此攻擊者使用添加流動性獲得憑證所取出的流動性數量將多于預期。

7. 攻擊者通過以上方式攻擊了在各個鏈上的 Vault 合約，耗盡了 Equalizer Finance 的流動性。

此次攻擊的主要原因在于 Equalizer Finance 協議的 FlashLoanProvider 合約與 Vault 合約不兼容。慢霧安全團隊建議協議在進行實際實現時應充分考慮各個模塊間的兼容性。[2022/6/8 4:09:22]

聲音 | 慢霧余弦：研究加密貨幣是出于技術熱愛:區塊鏈安全公司慢霧創始人余弦發微博稱，研究加密貨幣是出于技術熱愛，這些年其實研究了不少主流幣種還有些小幣種，多少都發現了些問題，其中有不少是安全問題。后來聯合創建了慢霧科技 ，致力于做好區塊鏈生態的安全。我提 MimbleWimble 的隱私與安全問題，不代表我不喜歡 Grin 和 BEAM，反而我在持續持有，就好像我很早就研究門羅幣、Zcash 的安全問題，我也在持續持有它們。有漏洞根本不是什么大問題，不改進不進化才是大問題。我盡量客觀做好安全技術研究，輸出的觀點千萬不要過度解讀，尤其不要解讀出“做多做空”，投資加密貨幣的討論，我一概不參與、不站臺、不背書。[2019/3/24]

聲音 | 慢霧：使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息，近日，注意到撞庫攻擊導致用戶數字貨幣被盜的情況，具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測，同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為，被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全，但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系，且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致，這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]