安全团队：GEMDAO项目发生rug pull，卷走322BNB

金色财经报道，据安全团队成都链安消息，GEMDAO发生rug pull，其合约拥有者调用存在后门的函数transfer()凭空增加自己GEMDAO余额，随后使用增加的GEMDAO将池子中的WBNB兑换出。该transfer()函数接受者为owner时将直接增加自己的余额。项目方共卷走322BNB (约105,553.49美元) ，安全团队成都链安正在对被盗资金进行实时监控。

其它快讯：

安全团队：MEV bot以太坊上地址遭到恶意利用，损失约1.6万美元:金色财经消息，据CertiK安全团队监测，北京时间2022年5月25日9:58:59，MEV bot以太坊上0x85e5c6cffd260a7f153b1f34b36f6dbeba3e279e地址遭到恶意利用，导致了价值约1.6万美元的资产损失。[2022/5/25 3:40:35]

金色独家 慢雾安全团队：有至少6种途径导致 EOS 私钥被盗:针对 EOS 私钥被盗事件，金色财经特邀请慢雾安全团队对此事进行解读，慢雾安全团队表示：EOS 投票关键期频发私钥被盗问题，慢雾安全团队综合 Joinsec Red Team 攻防经验及地下黑客威胁情报分析，可能的被盗途径有：

1、使用了不安全的映射工具，映射使用的公私钥是工具开发者(攻击者)控制的，当 EOS 主网上线后，攻击者随即 updateauth 更新公私钥；

2、映射工具在网络传输时没有使用 SSL 加密，攻击者通过中间人的方式替换了映射使用的公私钥；

3、使用了不安全的 EOS 超级节点投票工具，工具开发者(攻击者)窃取了 EOS 私钥；

4、在不安全的 EOS “主网”、钱包上导入了私钥，攻击者窃取了 EOS 私钥；

5、用户存储私钥的媒介不安全，例如邮箱、备忘录等，可能存在弱口令被攻击者登录窃取到私钥；

6、在手机、电脑上复制私钥时，被恶意软件窃取。

同时，慢雾安全团队提醒用户自查资产，可使用公钥(EOS开头的字符串)在 https://eosflare.io/ 查询关联的账号是否无误，余额是否准确。如果发现异常并确认是被盗了，可参考 EOS 佳能社区 Bean 整理的文档进行操作 https://bihu.com/article/654254[2018/6/14]

慢雾安全团队发布 BEC智能合约无限转币漏洞分析及预警:据了解，4月22日13时左右，BEC出现异常交易。慢雾安全团队第一时间分析发现，BEC智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的batchTransfer批量转账函数存在漏洞，攻击者可传入很大的value数值，使cnt*value后超过unit256的最大值使其溢出导致amount变为0。

通过此次分析，慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额amount是否大于0，及在for循环内执行balances[msg.sender].sub(value)操作。

这类漏洞属于不可逆的破坏型漏洞，慢雾安全团队建议其他智能合约发布方及时自查。[2018/4/23]

相关资讯