Magpie：发现合约存在漏洞，建议用户尽快取消授权

10月28日消息，浏览器安全插件 Pocket Universe 发推称，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT（也即 Seaport 升级之前），主要涉及 Wyvern 协议，它授予了代理合约撤回用户 NFT 的权利，而这个新的漏洞利用会诱使用户签署交易，让攻击者拥有用户的代理合约的所有权。

10月11日消息，据Supremacy安全团队监测，DeBank开发的插件钱包Rabby的Swap Router疑似存在一个漏洞，可任意转移用户资产。请用户尽快取消对Rabby的授权。攻击者地址为0xb687550842a24d7fbc6aad238fd7e0687ed59d55。

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日， Sushiswap项目遭到攻击，部分授权用户资产已被转移。 根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例： 1.攻击者在约30天前创建了恶意pool合约 2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约 3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。 建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。

8月20日消息，慢雾在推特发文提醒：请用户检查是否已将资产授权到BNB Chain上的一恶意合约地址：0x75117c9158f53998ce8689B64509EFf4FA10AD80。 该恶意合约尚未通过开源进行验证，但反编译显示其存在针对授权资产的任意转账后门。这种类型的后门让用户钱包在很长一段时间内保持正常使用，但当某天转移一笔金额稍大的资产时，它会突然被盗，而链上不会显示任何最近的异常授权。 用户可使用Revoke.cash和Rabby Wallet进行快速验证并撤销异常授权。以下是与上述合约相关的恶意地址：0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。请用户保持警惕。

5月24日消息，BitKeep钱包官方发推称，由于多名用户反馈Multichain跨链出现异常延迟，为保护用户资产安全，现已暂停支持Multichain跨链通道，BitKeep本身的跨链桥接功能不受影响。此外，为避免MultiChain合约授权带来的安全和资金风险，建议用户取消相关合约授权。

8月23日消息，Balancer在推特上发文更新漏洞修复进展，由于团队采取紧急措施，Balancer上最初被认为存在漏洞的超过97%的流动资金现已安全。漏洞尚未被利用，但部分资金（约占其TVL的0.89%）仍存在风险，建议用户尽快提款。