慢雾：TransferFrom出现零转账骗局

2月8日消息，慢雾创始人余弦发文称，OpenSea Trending里的NFT项目AZKI BOX是骗局，如果用户被诱骗打开了其中的网站，可能会被盗走相关加密资产。

据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。 2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。 3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。 4.最后将LP发送至DEX中移除流动性获利。 本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

2月8日消息，据派盾预警监测，0xc53f开头的地址通过“零代币转账（0 token transfers）”骗局被“钓鱼”损失了124万枚USDC，其中一个中间地址0x188在将被盗资金转移到0x74de之前，与钓鱼者Monkey Drainer进行了交互(向Monkey Drainer转移了90枚ETH)。 此外，6天前，0xc53f开头的地址通过“零代币转账”骗局被骗了21800枚USDT，诈骗者将被盗资金转移到币安。

金色财经报道，近期，慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试，通过一个如图这样的“Root 签名”即可以极低成本（特指“零元购”）钓走目标用户在 Blur 平台授权的所有 NFT，Blur 平台的这个“Root 签名”格式类似“盲签”，用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕，当发现来非 Blur 官方域名(blur.io)的“Root 签名”，一定要拒绝，避免潜在的资产损失。

12月26日消息，慢雾安全团队在社交媒体上发文表示，正在对 BitKeep 钱包进行深入调查，并已冻结部分黑客转移资金。

12月16日消息，安全团队慢雾MistTrack在推特上表示，曾于2017年攻击Parity多签钱包的黑客开始将其0x2d14开头地址中持有的以太坊通过混币器eXch洗钱。目前该黑客仍持有13.7万枚ETH，当前价值约1.74亿美元。此前报道，2017年一名黑客利用Parity钱包的漏洞，转移了超过15万ETH（在被黑客攻击时价值约为3000万美元），此后追回377000枚。