安全团队：Brahma TopGear (brahTOPG) 项目存在任意外部调用的风险请迅速取消授权

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。

10月11日消息，据Supremacy安全团队监测，DeBank开发的插件钱包Rabby的Swap Router疑似存在一个漏洞，可任意转移用户资产。请用户尽快取消对Rabby的授权。攻击者地址为0xb687550842a24d7fbc6aad238fd7e0687ed59d55。

10月28日消息，浏览器安全插件 Pocket Universe 发推称，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT（也即 Seaport 升级之前），主要涉及 Wyvern 协议，它授予了代理合约撤回用户 NFT 的权利，而这个新的漏洞利用会诱使用户签署交易，让攻击者拥有用户的代理合约的所有权。

8月15日消息，来自成都链安社区成员情报显示，yVaren项目中有人发起了一个恶意提案（提案ID：0）。成都链安安全团队分析发现：通过该提案，可以将yVaren项目金库的VRN代币全部授权给提案者（0xc59d7e226c8f222e2142bf0f4b3efa83370f8cab），若提案执行，那么提案者可将金库中所有VRN代币转移。目前提案还未执行，请用户注意保护资金安全。

金色财经报道，据CertiK数据监测，HACHiKO项目代币超跌90%，BSC合约（地址0x66238......c29e） ，请保持警惕。

10月15日消息，据Beosin安全社区成员提供信息，BNB Chain上RKC代币合约（0x043d0B1cC034b79546d384aBDAeBA838d627F234）留有组合类后门，攻击者可通过预留的后门函数操作成为关联合约Pool（0x7115a81Fa8226Caa629bE7363b621e4a46E1E3cd）的admin，然后利用RKC代币中具有后门的transferFrom转走任意地址的代币。目前PinkLock上的锁定代币已被全部转出，并将被盗代币已换为BNB（约17.6个）发送至地址0xeB2cD19A76DF7B4C19965e0B0cba059658750D23。