POOL:安全警告：第三方代幣發行平臺或暗留后門代碼增發并竊取代幣_SHI

北京鏈安安全中心近日接到項目方反映，在其ERC20合約部署生成代幣后，發現鏈上有來源不明的同類代幣轉賬。經過排查，項目方設置和發布合約過程中使用了第三方的ERC20合約發布平臺，該平臺在根據項目方的代幣供應量等設置自動化生成合約代碼的同時，增加了一段代碼私自多發了供應量總額1%的Token并將其轉移至指定地址。據安全專家Zer0Man表示，我們在該平臺進行了相關測試，整個過程中平臺并未對相關多發Token和私自轉移的行為做任何提示，與項目方的經歷相符。本質上，這是一種未經其客戶許可的暗留惡意后門的行為，旨在多發并竊取代幣，當其在交易所上架后交易變現。從其現在暗留的地址看，已經獲得七款代幣的額度，并已經將其中上線交易的項目代幣轉入相關交易所。在此提醒大家，請慎用第三方代幣發行服務。

安全團隊：建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月9日，

Sushiswap項目遭到攻擊，部分授權用戶資產已被轉移。

根本原因是由于合約的值lastCalledPool重置在校驗之前，導致合約中針對pool的檢查失效，從而允許攻擊者swap時指定惡意pool轉出授權用戶資金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8為例：

1.攻擊者在約30天前創建了惡意pool合約

2.調用SushiSwap的路由函數processRoute進行swap，指定了創建的惡意合約為pool合約

3.最后在swap后惡意合約調用uniswapV3SwapCallback，指定tokenIn為WETH，from地址為受害者用戶地址(sifuvision.eth)，從而利用受害用戶對路由合約的授權轉移走資金。

建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權。[2023/4/9 13:53:15]

安全團隊：pancake-super[.]com、pancake-vr[.]com是釣魚網站:金色財經報道，PeckShield在社交媒體上稱，檢測到pancake-super[.]com、pancake-vr[.]com 是釣魚網站。它們都與0xF04B869F75680AB53C5965e6705E110dab5Db1A1有關。[2022/7/15 2:15:53]

金色財經現場報道 PeckShield創始人兼CEO蔣旭憲 ：建立區塊鏈安全保護措施和防范機制:金色財經6月3日現場報道，在今天的以太坊技術及應用大會上， PeckShield創始人兼CEO蔣旭做了題為“Code Is Law：以太坊智能合約面臨的威脅與挑戰”的主題演講。蔣旭憲說，要思考建立保護措施和防范機制，主要有上線前的智能合約審計；上線后的應急響應；漏洞獎賞計劃。[2018/6/3]

Tags：SWAPSHIPOOPOOLUniswapDiamond Shibapoolz幣價格pool幣怎么樣

幣安app下載