EXT:慢雾：Polkatrain出现薅羊毛事故，套利者可通过调用 swap 函数薅取返佣奖励_NEX

据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题，接下来以快讯的形式分享给大家，供大家参考分析。

慢雾：NEXT空投领取资格检查通过默克尔证明进行，没有资格领取空投的用户无法绕过检查领取他人空投:金色财经报道，据慢雾区情报，有部分账户的NEXT代币被claim到非预期的地址，慢雾安全团队跟进分析后分享简析如下：

用户可以通过NEXTDistributor合约的claimBySignature函数领取NEXT代币。其中存在recipient与beneficiary角色，recipient角色用于接收claim的NEXT代币，beneficiary角色是有资格领取NEXT代币的地址，其在Connext协议公布空投资格时就已经确定。

在用户进行NEXT代币claim时，合约会进行两次检查：一是检查beneficiary角色的签名，二是检查beneficiary角色是否有资格领取空投。在进行第一次检查时其会检查用户传入的recipient是否是由beneficiary角色进行签名，因此随意传入recipient地址在未经过beneficiary签名的情况下是无法通过检查的。如果指定一个beneficiary地址进行构造签名即使可以通过签名检查，但却无法通过第二个对空投领取资格的检查。

空投领取资格检查是通过默克尔证明进行检查的，其证明应由Connext协议官方生成，因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。[2023/9/5 13:19:43]

本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。

慢雾：Apple Store恶意钓鱼程序可模仿正常应用程序，盗取账号密码以绕过2FA:7月25日消息，慢雾首席信息安全官23pds发推提醒用户注意Apple ID出现的最新攻击案例，其中Apple Store出现恶意钓鱼程序，通过模仿正常应用程序盗取用户账号和密码，然后攻击者把自己的号码加入双重认证的信任号码，控制账号权限，用来绕过苹果的2FA。“加密货币用户务必注意，因为目前有不少用户、钱包的备份方案是iCloud备份，一旦被攻击，可能造成资产损失”。[2023/7/25 15:56:56]

慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。

慢雾：LendHub疑似被攻击损失近600万美金，1100枚ETH已转移到Tornado Cash:金色财经报道，据慢雾区情报，HECO生态跨链借贷平台LendHub疑似被攻击，主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后，将部分资金跨链到Heco链展开攻击后获利，后使用多个平台（如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge）跨链或兑换被盗资金。截至目前，黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析，慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

标签：EXTNEXNEXTARYNext Generation Networkdigifinex交易所官网Pepe Next GenerationBinaryX (old)

波场热门资讯