慢霧首席信息安全官：針對比特瀏覽器用戶被盜，已聯合合作伙伴攔截部分在洗資金

金色財經報道，慢霧首席信息安全官 23pds 發推稱，關于比特瀏覽器大量用戶被盜的情況，目前我們已經聯合合作伙伴成功攔截了一部分在洗的資金。 比特瀏覽器正在立案，立案成功慢霧會正式介入。

其它快訊：

慢霧：DOD合約中的BUSD代幣被非預期取出，主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報，2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下：

1. DOD 項目使用了一種特定的鎖倉機制，當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖，若不滿足以上條件，DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下，用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣，即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。

2. 但由于 DOD 代幣價格較低，惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。

3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中，以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。

4. 之后只需要調用 DOD 合約中的 swap 函數，將持有的 DOD 代幣轉入 DOD 合約中，既可取出 1/10 轉入數量的 BUSD 代幣。

5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。

本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]

慢霧：BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息，10月30日攻擊BXH的黑客（BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79）在洗幣過程中，多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺，其中部分 ETH 代幣被兌換成 BTC。此外，黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈，目前，初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

分析 | 慢霧發布TronBank “假幣攻擊”手法技術分析:TRC10 是 TRON 區塊鏈本身支持的技術代幣標準，沒有 TRON 虛擬機（TVM）。TRC10 提供了 2 個新參數：tokenValue、tokenId，msg.tokenvalue 表示當前 msg 調用中的標記值，默認值為 0。 msg.tokenid 表示當前 msg 調用中的標記 id，默認值為 0。tokenId 也是 Odyssey_v3.2 中的新功能。它可以在帳戶中名為 assetV2 的新地圖字段中找到。 使用 GetAccount（Account）獲取 tokenId 及其值。 TokenId 由系統從數字 1_000_001 開始設置。 創建新的 TRC10 代幣時，數字加 1 并設置此代幣的 ID。

TronBank 合約在 invest 函數內沒有判斷 msg.tokenid 導致任意的代幣(假幣)轉入，合約都以為是真幣 BTT。然后攻擊者再調用 withdraw 從合約中提取真幣 BTT。[2019/4/11]