慢霧分析Vee.Finance被攻擊漏洞：預言機價格源單一且數據獲取未進行小數處理_DRAGON:ONE

鏈捕手消息，安全分析機構SlowMist針對雪崩生態借貸項目Vee.Finance被攻擊事件發布報告。分析稱主要原因在于，在創建杠桿交易訂單的過程中，預言機僅使用Pangolinpool的價格作為價格饋送源，而該池價格波動超過3%。預言機會刷新價格，導致攻擊者操縱了Pangolinpool的價格。而操縱VeeFinance預言機價格和收購預言機價格沒有進行小數處理，導致掉期前預期的滑點檢查沒有起作用。

慢霧：近期出現假冒UniSat的釣魚網站，請勿交互:5月13日消息，慢霧首席信息安全官 @IM_23pds 在社交媒體上發文表示，近期有假冒比特幣銘文錢包及交易市場平臺 UniSat 的釣魚網站出現，經慢霧分析，假網站有明顯的傳統針對 ETH、NFT 釣魚團伙的作案特征，或因近期 BRC-20 領域火熱故轉而制作有關該領域的釣魚網站，請用戶注意風險，謹慎辨別。[2023/5/13 15:01:11]

繞過對合約調用的檢查，以及保證金交易的目標對未列入白名單是該次事故的間接原因。

慢霧余弦：“代碼即法律”即不切實際也不負責任:10月30日，在由Web3基金會主辦的Web3大會上，慢霧科技創始人余弦表示：

1. 目前已披露的被盜數字資產價值已超130億美元，未披露的數量可能是這個數字的一倍；

2. 作案成本低到令人發指；

3. “代碼即法律”是一句不切實際且不負責任的話；

4. 區塊鏈安全遠不止發生在區塊鏈上；

5. 我們可以拯救漏洞，但拯救不了人性。[2020/10/30]

此前9月20日，Vee.Finance遭遇攻擊，價值超過3500萬美元的資產被盜。慢霧表示，目前正在協助Vee.Finance進行攻擊分析和黑客跟蹤。

分析 | 慢霧：攻擊者拿下了DragonEx盡可能多的權限 攻擊持續至少1天:據慢霧安全團隊的鏈上情報分析，從DragonEx公布的“攻擊者地址”的分析來看，20 個幣種都被盜取（但還有一些DragonEx可交易的知名幣種并沒被公布），從鏈上行為來看攻擊這些幣種的攻擊手法并不完全相同，攻擊持續的時間至少有1天，但能造成這種大面積盜取結果的，至少可以推論出：攻擊者拿下了DragonEx盡可能多的權限，更多細節請留意后續披露。[2019/3/26]

Tags：DRAGONVEEGONONE3X Long Dragon Index TokenVEEN幣Wish Doge DragonMOONER

幣贏