USDC:慢霧分析：Opyn 合約攻擊者可以任意重置已創建 vault 地址來通過檢查_usdc幣是誰發行的

鏈聞消息，慢霧安全團隊表示，在其中一筆Opyn合約的攻擊中，攻擊者僅使用272ETH最終得到467ETH。完整的攻擊流程如下：攻擊者使用合約先啟動Opyn合約的reateERC20CollateralOption函數創建oToken。合攻擊約調用運動函數，傳入已創建庫的地址。通過exercise函數中用于循環邏輯執行調用兩次_exercise函數。exercise函數調用transferCollateral函數將USDC轉給函數調用者。攻擊合約調用removeUnderlying函數將預先定義的ETH轉出。最終攻擊者拿回了戰斗補充的ETH以及額外的USDC。此次攻擊主要是利用了_exercise函數中對vaultToExerciseFrom是否創建了vault的檢查缺陷。此檢查未糾正vaultToExerciseFrom是否是由參與者自己，而只是簡單的檢查是否創建了vault，導致攻擊者可以任意重置已創建vault的地址來通過檢查。

慢霧：過去一周Web3因安全事件損失約265萬美元:7月17日消息，慢霧發推稱，2023年7月10日至7月16日期間，Web3發生5起安全事件，總損失為265.5萬美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取:12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

聲音 | 慢霧余弦：區塊鏈安全漏洞引起的財產損失未來將進一步擴大:據算力智庫微信公眾號文章，公開資料數據顯示，2011-2019年之間，由區塊鏈安全漏洞引起的損失高達84億美元。其中，交易所是重災區，占比近一半。對此，慢霧余弦表示，一方面，交易所的門檻比以往低了很多，而安全防護水平又層次不齊，對于地下黑客來說那就是滿地黃金。此外，這一數據的背后體現了了人們對加密貨幣市場，對區塊鏈的認同。基于這個共識，行業規模擴大，錯誤也隨之放大。未來這一數據增幅還將繼續擴大。對于中心化的交易所而言，會受到傳統行業的攻擊，如服務器、辦公網等，也和公鏈、智能合約有關。每一環都有可能存在的安全問題。他建議把IT建設的預算中拿出15%-20%作為安全預算，其中包括人員的成本維護，殺軟件，防火墻的購置等。但是這并不代表你配置了這些就一定不會被黑。拋開攻防博弈成本去看待這個問題是不客觀的。你每投入一定的比例，那攻擊門檻則相對提高了一個臺階。相對來說你被黑的概率會低很多，但我們這個行業沒有人可以給出這樣的一個永不被黑的承諾。[2019/10/30]

Tags：SDCUSDUSDCBICusdc幣是什么意思AUSDC價格usdc幣是誰發行的BICR幣

OKB