慢雾余弦：授权给0x13d8f...7b9af合约存在风险，资产疑似已被盗

10月6日消息，安全机构GoPlus与慢雾提出可限时授权的EIP标准，以降低遗留授权导致的被盗风险。标准中提到，包括TransitSwap事件在内，反复发生的资产盗窃是由于用户对合约的过度授权造成的，如果合约出错，所有没有召回授权的用户都会受到攻击。 GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv，以在默认时间段内自动撤回授权，或者使用自定义的时间限制来召回授权并及时避免风险，并提交了一份新的EIP，目前正在由以太坊研究部门审查。

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。

金色财经报道，慢雾创始人余弦表示，比特币技术门道确实很多，如果你的比特币资产（铭文/BRC-20这些本质都是BTC或者说UTXO，只是铭刻在具体sat上的价值资产）被盗，主要有三种可能： -助记词/私钥被盗，或弱随机数导致被破解； -被钓鱼诱骗发送； -做了SIGHASH_NONE这类签名，之前说过，这意味着这笔资产谁都可以拿走。

金色财经报道，据 ZachXBT 监测，有人因钓鱼骗局损失约 1807 枚 Ether.fi-Liquid1（LQIDETHFIV1），约合 690 万美元。 对此，慢雾创始人余弦在 X 平台发文表示：“又一笔巨额被钓鱼，近 700 万美元的 ETH 再质押资产……来自老钓鱼团伙 Inferno Drainer。原因还是被钓走了有关的 permit 离线授权签名。一笔就破产（1click fuck）的钓鱼手法或传闻难道还要许多人未曾耳闻？希望受害者们现身说法，尤其可以说下自己用的什么钱包……”

金色财经报道，区块链安全研究员 dm 在 X 平台发文表示：“下载和运行 Github 上的 Web3 项目要小心了，今天偶尔看到的一个开源项目发现是偷用户 Solana 私钥的，checkrug.py 用 base64/zlib 循环编码然后偷偷执行：hxxps://github.com/HELIPOX/solana-sniper-bot。” 对此，慢雾创始人余弦在 X 平台发文评论：“这个开源 bot 有偷私钥后门代码，如果你不熟悉代码，看到花里胡哨的代码（“乱码”）就需要警惕了，可能偷偷藏了什么猫腻。Crypto 都讲究开源，开源了，巴不得提供高可读性代码，谁还整这些花里胡哨的代码。另外，作者似乎删除了后门文件。有下载使用这个 bot 的玩家可以联系。”

金色财经报道，慢雾创始人余弦在社交媒体X表示，，如果你的比特币资产（铭文/BRC-20这些本质都是BTC或者说UTXO，只是铭刻在具体sat上的价值资产）被盗，主要有三种可能： 1.助记词/私钥被盗，或弱随机数导致被破解； 2.被钓鱼诱骗发送； 3.做了SIGHASH_NONE这类签名，这意味着这笔资产谁都可以拿走。