慢霧：上周Web3安全事件中總損失約1996.3萬美元

金色財經報道，據慢霧區塊鏈被黑檔案庫統計，2023年8月14日至8月20日，共發生安全事件10起，總損失約1996.3萬美元。具體事件：

8月14日，Hexagate發推表示，過去幾天單個MEV Bot被利用了約20萬美元。以太坊上Zunami Protocol協議遭遇價格操縱攻擊，損失1,179個ETH（約220萬美元）。

8月15日，以太坊擴容解決方案Metis官方推特賬號被盜。Sei Network官方Discord服務器遭入侵。Base生態項目RocketSwap遭遇攻擊，攻擊者竊取了RCKT代幣，將其轉換為價值約86.8萬美元的ETH并跨鏈到以太坊。

8月16日，借貸協議SwirlLend團隊從Base盜取了約290萬美元的加密貨幣，從Linea盜取了價值170萬美元的加密貨幣。BAYC推出的鏈上許可申請平臺Made by Apes的SaaSy Labs APl存在一個問題，允許訪問MBA申請的個人詳細信息。

8月18日，DeFi借貸協議Exactly Protocol遭受攻擊，損失超7,160枚ETH（約1204萬美元）。

8月19日，Cosmos生態跨鏈穩定幣協議Harbor Protocol被利用，損失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600萬億枚WMATIC。

8月20日，衍生品市場Thales發布公告稱，一名核心貢獻者的個人電腦/Metamask遭到黑客攻擊，一些充當臨時部署者（2.5萬美元）或管理員機器人（1萬美元）的熱錢包已被攻破。

其它快訊：

慢霧：警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報，近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，當前總損失約 431 萬美金。

經過慢霧安全追蹤分析確認，此次攻擊為批量谷歌關鍵詞廣告投放釣魚，用戶在谷歌搜索如：astroport，nexus protocol，anchor protocol 等這些知名的 Terra 項目，谷歌結果頁第一條看似正常的廣告鏈接（顯示的域名甚至是一樣的）實為釣魚網站。 一旦用戶不注意訪問此釣魚網站，點擊連接錢包時，釣魚網站會提醒直接輸入助記詞，一旦用戶輸入并點擊提交，資產將會被攻擊者盜取。

慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接，減少使用常用錢包進行非必要的操作，避免不必要的資損。[2022/4/21 14:37:55]

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

慢霧：PAID Network攻擊者直接調用mint函數鑄幣:慢霧科技發文對于PAID Network遭攻擊事件進行分析。文章中指出，在對未開源合約進行在反編譯后發現合約的 mint 函數是存在鑒權的，而這個地址，正是攻擊者地址(0x187...65be)。由于合約未開源，無法查看更具體的邏輯，只能基于現有的情況分析。慢霧科技分析可能是地址(0x187...65be)私鑰被盜，或者是其他原因，導致攻擊者直接調用 mint 函數進行任意鑄幣。

此前報道，PAID Network今天0點左右遭到攻擊，增發將近6000萬枚PAID代幣，按照當時的價格約為1.6億美元，黑客從中獲利2000ETH。[2021/3/6 18:21:08]