慢雾余弦：NFT项目AZKI BOX是骗局

12月1日消息，慢雾发布安全预警，根据多位受害者反映，TRON网络用户地址交易记录中持续出现从未识别地址转出0USDT，且每次均调用TransferFrom函数。除了TRON，慢雾在以太坊网络上进行了一些测试，测试调用成功，相同的规则应用于以太坊网络。 慢雾表示，若用户发现不属于自己的交易记录，可能会担心钱包已被泄露，或有可能下载了一个假的 App。如果用户的交易历史被劫持，用户可能会复制错误的地址。 此外，慢雾余弦提醒用户注意这个风险，余弦称，TransferFrom零转账骗局。由于这是ERC20标准Token的特性（非 Bug），所以不仅Tron上，其他EVM链上也同样会有类似的骗局。 简单说就是：哪天你发现你的钱包往外转账或收到 0 USDT（或其他 Token），忽略就好。

1月23日消息，慢雾科技创始人余弦在社交媒体上发文表示，被OpenSea标记拉黑的 NFT，黑客可以通过 OpenSea Seaport 协议的 matchAdvancedOrders 函数完成售卖。这样就绕过了 OpenSea 的安全策略（拉黑不可售卖），不过这里需要有买家 bid 了 offer。 此前 BAYC 第 6 大持有者 Franklin 在社交媒体上发文表示一周内两次有人使用matchAdvancedOrders」功能向其出售被标记为可疑活动审查中（黄色标记）的窃取 BAYC NFT。

据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。 2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。 3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。 4.最后将LP发送至DEX中移除流动性获利。 本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

金色财经报道，慢雾创始人余弦发推称：“昨晚到现在我们收到不少人的反馈，难得拿到的ARB，被盗了。这是其中一个原因：骗子构建了一个可升级的DEX路由器，通过早期的宣传引诱用户批准该路由器进行代币交换，当用户申请ARB空投并将其交换为批准的代币时，路由器所有者通过合同升级窃取用户之前批准的代币。”

12月26日消息，慢雾安全团队在社交媒体上发文表示，正在对 BitKeep 钱包进行深入调查，并已冻结部分黑客转移资金。

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。