安全团队：SUSHI RouteProcessor2 遭受攻击，请及时撤销对其的授权

金色财经报道，据慢雾安全团队情报，2023年4月9日，SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下：

1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查，导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。

2. 由于在合约中并未对 Pool 是否合法进行检查，直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。

3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数，由于 lastCalledPool 变量已被设置为 Pool，因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。

4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数，以窃取其他已对 RouteProcessor2 授权的用户的代币。

幸运的是部分用户的资金已被白帽抢跑，有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。

安全团队：Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露:8月4日消息，慢雾发布对 Solana 攻击事件的分析，据 Solana 基金会提供的数据，被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope，其余使用 Trust Wallet、Coin98 Wallet 等，IOS 和 Android 均未能幸免。

在分析 Slope Wallet (Android, Version: 2.2.2) 时，发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务，在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据，并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/，并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”，而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布，所以 Slope 该日期之后的用户受到影响。

对于另外 60% 的使用 Phantom Wallet 用户，分析 Phantom（版本：22.07.11_65）钱包后发现，Phantom（Android，版本：22.07.11_65）也使用 sentry 服务收集用户信息，但目前没有发现任何明显的收集助记词或私钥的行为。[2022/8/4 2:58:18]

安全团队：Waves稳定币USDN存在脱锚风险，Curve USDN-3池资产比例已倾斜:5月13日消息，安全团队CertiK Alert发布推文称，另一个接近UST市值的稳定币是Waves稳定币Neutrino USD（USDN），目前其MCAP为8.3亿美元。USDN自4月份以来一直处于波动状态。USDN周四的价格从0.74美元到0.92美元不等，已经脱锚。

USDN在4月4日一度跌至59美分，此前用户指控该平台通过其借贷平台Vires.finance.操纵了WAVES的价格。Waves首席执行官否认了这些指控。

用户必须将WAVES代币锁定到Neutrino的智能合约中，才能赚取USDN。赎回会破坏稳定币，以解锁WAVES，这平衡了供应，并使稳定币保持锚定。目前Curve USDN-3 Pool是不平衡的，93.8%是USDN。同样的比率也出现在UST的Curve池中。这通常是一个迹象，表明锚定正面临压力，需要新的存款来恢复平衡。请注意风险。[2022/5/13 3:13:33]

太壹科技交易所安全团队：超过90%的交易所被这四大安全问题所困:本周三晚，太壹科技&优盾钱包系列课程-《如何彻底解决交易所安全》顺利结束。

针对困扰超过90%交易所的四大交易所安全问题——访问安全、系统安全问题、系统资金安全问题、用户资金安全问题，太壹科技CTO章亚亮结合实际经验分享了解决思路：“交易所安全问题不是点而是面的问题。为了预防并攻克这4大类安全问题，太壹科技考虑到了一整套的周边情况，为交易所客户搭建了一套生态保护服务。”

未来太壹科技将陆续推出专业的风控产品、优盾3.0升级以及和业内知名安全厂商展开深入安全合作，打造出一个更加专业、安全、有温度的交易所平台。

优盾钱包，是一款企业级交易所钱包管理系统，以安全完善的技术重新定义数字资产钱包，为比特币、以太坊等100多种币种提供API接入；顶级私钥BOSS自主掌握，子私钥动态计算不触网，硬件加持，纯冷操作；多级财务审核策略，资产动向、操作日志一目了然；海量地址统一管理，余额一键自动归集。[2020/7/30]

相关资讯