安全团队：Go Coin项目疑似发生Rug Pull，Go代币下跌92%

金色财经消息，据CertiK预警监测，BSC链上Go Coin项目疑似发生Rug Pull，Go代币下跌92%，合约部署者将费用设置为最高，并将禁止出售的地址列入黑名单。

其它快讯：

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

安全团队：Waves稳定币USDN存在脱锚风险，Curve USDN-3池资产比例已倾斜:5月13日消息，安全团队CertiK Alert发布推文称，另一个接近UST市值的稳定币是Waves稳定币Neutrino USD（USDN），目前其MCAP为8.3亿美元。USDN自4月份以来一直处于波动状态。USDN周四的价格从0.74美元到0.92美元不等，已经脱锚。

USDN在4月4日一度跌至59美分，此前用户指控该平台通过其借贷平台Vires.finance.操纵了WAVES的价格。Waves首席执行官否认了这些指控。

用户必须将WAVES代币锁定到Neutrino的智能合约中，才能赚取USDN。赎回会破坏稳定币，以解锁WAVES，这平衡了供应，并使稳定币保持锚定。目前Curve USDN-3 Pool是不平衡的，93.8%是USDN。同样的比率也出现在UST的Curve池中。这通常是一个迹象，表明锚定正面临压力，需要新的存款来恢复平衡。请注意风险。[2022/5/13 3:13:33]

安全团队：周杰伦疑似被钓鱼攻击:4月1日消息，周杰伦在社交媒体上发文确认，曾由好友赠予的无聊猿 BAYC #3738 NFT 被盗。

慢雾安全团队经过分析发现，周杰伦疑似被钓鱼攻击，其钱包地址（0x71de2...e97a1）在11:02签名了授权（approve）交易，将NFT的权限授予了攻击者钱包（0xe34f0...072da），然后攻击者在11:07将无聊猿 BAYC #3738 NFT转移到自己的钱包地址中。与此同时，还有另外2个钱包地址的NFT也被盗以及1个钱包地址的ApeCoin被盗。攻击者得手后，在LooksRare和OpenSea上将盗取的NFT卖掉，获得约169.6 ETH。目前资金停留在 0x6E85C...85b15地址上。[2022/4/1 14:31:09]

相关资讯