安全團隊：黑客在premint.xyz網站中通過植入惡意的JS文件實施釣魚攻擊_MIN:Side.xyz

據慢霧區情報反饋，07月17日16:00(UTC8),premint.xyz遭遇黑客攻擊，黑客在premint.xyz網站中通過植入惡意的JS文件來實施釣魚攻擊，欺騙戶簽名setApprovalForAll(address,bool)的交易，從而盜取用戶的NFT等資產。慢霧安全團隊提醒廣大的用戶，如果你有使用premint.xyz平臺請檢查你的授權設置并及時取消惡意授權。取消授權的工具：https://etherscan.io/tokenapprovalcheckerhttps://revoke.cash/惡意的JS文件：https://s3-redwood-labs-premint-xyz.com/cdn.min.js?v=1658046560357

安全團隊：穩定幣DEI被盜資金目前存在黑客地址:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年5月6日，DEI項目遭到攻擊總共約損失超600萬美元，被盜資金目前存在黑客地址。

Beosin安全團隊分析原因是DEI代幣合約中存在一個burnFrom函數，該函數在獲取用戶授權值的時候，將兩個地址參數寫反，導致獲取的授權值為黑客可操控的值。扣除銷毀數量后，函數將授權值更新為了一個錯誤的授權值，使得黑客可以直接將pair中的DEI代幣轉移出去并將穩定幣兌換出來。

BSC交易：0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3

Arbitrum交易：

0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef[2023/5/6 14:46:00]

安全團隊：NFT項目Spiky Space Fish Discord服務器遭攻擊:金色財經消息，據CertiK監測，NFT項目Spiky Space Fish的Discord服務器遭黑客攻擊，請用戶不要點擊任何鏈接，且不要參與鑄造或批準任何交易。[2022/7/6 1:54:32]

Poly Network攻擊者：很少看到專業安全團隊報告已上線合約的關鍵漏洞:Poly Network攻擊者再次留下鏈上信息，主要內容如下：

1.FBI沒有試圖聯系我。我很高興他們和其他安全團隊可能會從這場“游戲”中受益。對研究人員來說，甚至攻擊本身就是“一種享受”。

2.對我來說，觀看頂級安全團隊的應急反應很有趣（當然只在區塊鏈行業中）。

注：以下時間線可能是錯誤的：

3.一開始，大多數專家都在談論內幕陰謀的單個Keeper。根據我所看到的，@kelvinfichter是第一個指出ETH合約中最關鍵但也最明顯錯誤的人。慢霧團隊宣布了關于資金蹤跡的好消息。但他們不覺得這太明顯了嗎？無論如何，他們讓社區冷靜下來了。這是一個意想不到的副作用，但非常重要。后來，他們似乎忙于處理來自媒體和社區的詢問。我很高興他們在幫助我完成指導或教育部分的事情。宛如黑暗騎士找到了他的哈維·登特（DC反派雙面人）！謝謝慢霧團隊。其他安全團隊似乎沒有慢霧那么活躍，但他們為解釋這次攻擊的更多細節做出了貢獻。我認為Certik是第一個發布關于本體調用缺失的團隊。派盾還提到了啟動交易和特殊簽署人。強啊！

4.安全是一項艱巨的工作，無論是在傳統世界還是加密世界。大多數情況下，安全專家只是在事后作為法醫被傳喚，寫寫“驗尸報告”，有時會追蹤作惡者。也有一些項目不是非常迫切地尋回資金，因為這不是他們的錢，他們會告訴真正的受害者：“抱歉，我們嘗試了，但無法保證極端的安全”。

另一個有趣的事實是，很少看到任何專業的安全團隊報告已上線合約的關鍵漏洞。當然，他們總能在這些項目“死后”告訴你死因。為什么你沒有看到安全團隊發現了數百萬美元乃至數十億美元漏洞的案例？因為沒付錢？我想大多數安全團隊都比我有錢，有些團隊可能比我更有能力，你相信他們從來沒有遇到過類似的誘惑嗎？還是其中的一些人向邪惡屈服了？這讓人想起了電影《網絡謎蹤》。這只是我的陰謀論，這就是我不相信任何人的原因，但你可以永遠相信我。[2021/8/14 1:54:59]

Tags：MININTXYZREMGaming Starscointiger官網Side.xyzRemix Token

Polygon