NCE:慢霧分析Vee.Finance被攻擊漏洞：預言機價格源單一且數據獲取未進行小數處理_ANC

鏈捕手消息，安全分析機構SlowMist針對雪崩生態借貸項目Vee.Finance被攻擊事件發布報告。分析稱主要原因在于，在創建杠桿交易訂單的過程中，預言機僅使用Pangolinpool的價格作為價格饋送源，而該池價格波動超過3%。預言機會刷新價格，導致攻擊者操縱了Pangolinpool的價格。而操縱VeeFinance預言機價格和收購預言機價格沒有進行小數處理，導致掉期前預期的滑點檢查沒有起作用。

慢霧：Apple Store惡意釣魚程序可模仿正常應用程序，盜取賬號密碼以繞過2FA:7月25日消息，慢霧首席信息安全官23pds發推提醒用戶注意Apple ID出現的最新攻擊案例，其中Apple Store出現惡意釣魚程序，通過模仿正常應用程序盜取用戶賬號和密碼，然后攻擊者把自己的號碼加入雙重認證的信任號碼，控制賬號權限，用來繞過蘋果的2FA。“加密貨幣用戶務必注意，因為目前有不少用戶、錢包的備份方案是iCloud備份，一旦被攻擊，可能造成資產損失”。[2023/7/25 15:56:56]

繞過對合約調用的檢查，以及保證金交易的目標對未列入白名單是該次事故的間接原因。

動態 | 慢霧預警：競技類游戲 WinDice 遭遇回滾攻擊:根據慢霧威脅情報系統捕獲，今天下午 2、3 點，競技類游戲 WinDice 遭遇回滾攻擊。攻擊者通過部署攻擊合約 rep******net 攻擊項目方合約 windiceadmin，共獲利 300 多枚 EOS，目前攻擊者數個關聯賬號已列入慢霧 BTI 系統黑名單庫，慢霧安全團隊提醒類似項目方全方面做好合約安全審計并加強風控策略。[2019/2/4]

此前9月20日，Vee.Finance遭遇攻擊，價值超過3500萬美元的資產被盜。慢霧表示，目前正在協助Vee.Finance進行攻擊分析和黑客跟蹤。

動態 | 慢霧澄清：EOS 賬戶 crazycapital 并未攻擊DApp:今日慢霧發消息稱EOS 賬戶 crazycapital 疑似在同時攻擊數個游戲 DApp，賬戶 EOS 余額飛速增長，游戲勝率驚人的高。 隨后慢霧安全團隊更新了動態，表示 crazycapital 的行為不是攻擊而是大戶賬號瘋狂玩 dice ，可以解除攻擊預警。對此慢霧團隊表示感謝各位配合應急，雖然此事屬于烏龍事件但是這種突然的異常還是要保持警惕。[2018/12/6]

Tags：APPFINANCNCEbybit官網appOROS.financeKaizen FinanceTresor Finance

火必APP