Rabby Swap Router漏洞或可任意转移用户资产请尽快取消授权

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。

11月10日消息，据慢雾安全团队监测，2022年11月10日，ETH链上的brahTOPG项目遭到攻击，攻击者获利约 89,879 美元。慢雾安全团队分析称，此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查，导致了任意外部调用的问题，攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。 慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

10月28日消息，浏览器安全插件 Pocket Universe 发推称，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT（也即 Seaport 升级之前），主要涉及 Wyvern 协议，它授予了代理合约撤回用户 NFT 的权利，而这个新的漏洞利用会诱使用户签署交易，让攻击者拥有用户的代理合约的所有权。

金色财经消息，据CertiK监测，EOA地址0xf02EE89bcea4B38cE71b10B1f1e7c30b11005791出现异动。请曾授权该EOA账户地址的用户尽快撤销权限。

8月3日消息，成都链安链必应-区块链安全态势感知平台舆情监测显示，Solana生态发生大规模盗币事件，经成都链安安全团队分析，事故的原因可能是一次供应链攻击，npm package里面有后门，所以很多钱包受到影响。建议Solana钱包用户尽快转移加密资产至CEX或者硬件钱包，成都链安链必追平台正在对被盗资金进行实时监控。

12月26日消息，Web3 多链钱包 BitKeep 发布公告称：因 7.2.9 APK 版本被黑客劫持，请 APP 为以下版本号的用户尽快转移资金：7.2.9 com.bitkeep.w4、7.2.9 com.bitkeep.wallet5、7.2.9 io.bitkeep.wallet、7.2.9 com.bitkeep.app、7.2.9 com.bitkeep.w5。此外，BitKeep Chrome 插件钱包目前安全。