慢霧：Poly Network被黑并非keeper私鑰泄露，而是跨鏈合約keeper可被修改_AIN:MICROSHIB

鏈捕手消息，跨鏈互操作協議PolyNetwork遭到黑客攻擊，共計超6.1億美元轉出至3個地址，受此影響導致O3Swap跨鏈池大額資產被轉出。對此，慢霧安全團隊發布分析報告表示，這種攻擊主要是因為EthCrossChainData合約的keeper可以被EthCrossChainManager合約修改，EthCrossChainManager合約的verifyHeaderAndExecuteTx函數可以通過_executeCrossChainTx函數來執行用戶傳入的數據。

慢霧：Platypus再次遭遇攻擊，套利者獲取約5萬美元收益:7月12日消息，SlowMist發推稱，穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異，導致用戶可以通過存入USDC然后提取更多USDT來套利，套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

因此，攻擊者利用該函數傳入精心構造的數據來修改EthCrossChainData合約的keeper，并非由于keeper的私鑰泄露而發生此事件。

慢霧：警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報，近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，當前總損失約 431 萬美金。

經過慢霧安全追蹤分析確認，此次攻擊為批量谷歌關鍵詞廣告投放釣魚，用戶在谷歌搜索如：astroport，nexus protocol，anchor protocol 等這些知名的 Terra 項目，谷歌結果頁第一條看似正常的廣告鏈接（顯示的域名甚至是一樣的）實為釣魚網站。 一旦用戶不注意訪問此釣魚網站，點擊連接錢包時，釣魚網站會提醒直接輸入助記詞，一旦用戶輸入并點擊提交，資產將會被攻擊者盜取。

慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接，減少使用常用錢包進行非必要的操作，避免不必要的資損。[2022/4/21 14:37:55]

慢霧：2021年上半年共發生78起區塊鏈安全事件，總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計，2021年上半年，整個區塊鏈生態共發生78起較為著名的安全事件，涉及DeFi安全50起、錢包安全2起，公鏈安全3起，交易所安全6起，其他安全相關17起，其中以太坊上27起，幣安智能鏈(BSC)上22起，Polygon上2起，火幣生態鏈(HECO)、波卡生態、EOS上各1起，總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現，約60%的資金被攻擊者轉入混幣平臺，約30%的資金被轉入交易所。慢霧安全團隊在此建議，用戶應增強安全意識，提高警惕，選擇經過安全審計的可靠項目參與；項目方應不斷提升自身的安全系數，通過專業安全審計機構的審計后才上線，避免損失；各交易所應加大反洗錢監管力度，進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

Tags：AINCROSHAISCHUNT ChainMICROSHIBblockchain.infoapietschain

Gateio