FACE:安全公司：DEUS Finance遭受攻擊的原因是使用了不安全的預言機來計算LP價格_facedao幣怎么買入賣出

慢霧安全團隊對今日DEUSFinanceDAO遭受的閃電貸攻擊原理進行了分析：1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

安全公司：有攻擊者分發Win10 ISO鏡像，并在EFI分區中隱藏挖礦代碼:金色財經報道，網絡安全公司Dr. Web發文稱，發現有攻擊者分發Win10 ISO鏡像，并在EFI（可擴展固件接口）分區中隱藏挖礦代碼，可以躲避殺軟的監測。設備一旦感染之后就會監測進程資源管理器、任務管理器、進程監視器、進程等等，一旦發現剪貼板中的加密貨幣錢包地址，就會立即替換為攻擊者預設的地址。Dr. Web表示調查重定向的加密錢包地址，發現該錢包賬號上至少有價值19000美元的加密貨幣。

注：EFI分區是一個小型系統分區，其中包含在操作系統啟動之前執行的引導加載程序和相關文件。主流殺軟不會掃描EFI分區，因此惡意軟件可以繞過惡意軟件檢測。[2023/6/14 21:36:34]

本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考AlphaFinance關于獲取公平LP價格的方法。

安全公司：2.67億個Facebook帳戶信息在暗網以600美元出售:網絡安全公司Cyble發現，有2.67億Facebook用戶信息被盜，包括姓名、郵箱地址、電話、社會身份、性別等，這些信息在暗網上以僅600美元的價格出售。目前尚不清楚這些信息是如何在第一時間被泄露的，不過根據Cyble工作人員的說法，很可能是第三方API泄露或報廢導致的。雖然這次針對Facebook的攻擊并不像此前Zoom一樣對密碼等敏感信息進行了竊取，但由于這些信息包含了用戶的敏感資料，不法分子很有可能將其用于網絡釣魚詐騙或者發送垃圾郵件。釣魚詐騙是能夠進一步盜取密碼等隱私數據的手段。黑客能夠利用獲取到的電子郵件地址和Facebook ID等信息偽造出Facebook登錄頁面，當用戶將登錄信息輸入到該領域時，他們就能順勢挖出用戶的密碼和其他敏感信息。據悉，去年暗網上也發現過類似Facebook電子郵件被曝光事件，其中包含了2.67億個來自美國用戶的Facebook賬戶。（安全內參）[2020/4/23]

此前消息，DEUSFinance遭到閃電貸攻擊，損失約1700萬美元，攻擊者錢包已將5446枚ETH分批轉入TornadoCash。

動態 | 瑞士網絡安全公司WISeKey將在沙特阿拉伯建立新的區塊鏈中心:據GlobeNewswire報道，在多倫多舉行的Blockchain Revolution Global會議上，瑞士網絡安全公司WISeKey宣布將在沙特阿拉伯建立一個新的區塊鏈中心，并與沙特高新技術企業“SAT”成立合資企業，名為WISeKey Arabia。WISeKey將與SAT合作在中東拓展網絡安全、區塊鏈和物聯網產品。[2019/4/23]

Tags：DEICEBACEFACEdei幣行情ICEBRK幣SPACETOASTfacedao幣怎么買入賣出

Pol幣