慢雾：警惕针对Blur NFT市场的批量挂单签名零元购钓鱼风险

金色财经报道，据 CoinTracker 消息，受服务提供商影响，其客户的地址邮件地址遭受泄漏。慢雾安全团队提醒 CoinTracker 用户警惕此泄漏带来的钓鱼、诈骗等风险，仔细检查未知来源的邮件内容，谨慎点击邮件内链接与附件。

2月8日消息，慢雾创始人余弦发文称，OpenSea Trending里的NFT项目AZKI BOX是骗局，如果用户被诱骗打开了其中的网站，可能会被盗走相关加密资产。

据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因： 1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。 2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。 3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。 4.最后将LP发送至DEX中移除流动性获利。 本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。

据官方消息显示，欧易NFT市场今日宣布支持挂单至Solana最大的NFT交易平台MagicEden，且日前已支持Opensea订单的获取及下单，成为业内唯一聚合了Solana、ETH、IMX、Punks等异构链NFT的交易平台。 据了解，欧易NFT在短期内暂无收费计划，将持续采取0手续费策略。 欧易NFT市场共计支持ETH、SOL、BSC、OKC、Polygon、AVAX-C、IMX 等7条公链，是支持链最多的NFT聚合交易平台。

10月6日消息，安全机构GoPlus与慢雾提出可限时授权的EIP标准，以降低遗留授权导致的被盗风险。标准中提到，包括TransitSwap事件在内，反复发生的资产盗窃是由于用户对合约的过度授权造成的，如果合约出错，所有没有召回授权的用户都会受到攻击。 GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv，以在默认时间段内自动撤回授权，或者使用自定义的时间限制来召回授权并及时避免风险，并提交了一份新的EIP，目前正在由以太坊研究部门审查。

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。