慢霧CISO：Fantom基金會被盜是基金會或員工被釣魚攻擊

金色財經報道，慢霧首席信息安全官23pds發文表示，昨天Fantom基金會報告說被盜，我們分析鏈上轉賬方式和我們的過往應急經驗來看，應該是私鑰被盜。可能是他們基金會或員工被釣魚、社會工程學攻擊，運行惡意木馬文件，導致部分錢包私鑰被盜取。

金色財經此前報道，Fantom基金會部分錢包遭攻擊，黑客通過利用Chrome零日漏洞獲利，獲利近700萬美元。

其它快訊：

慢霧：上周預計損失總額為8,428,033美元:金色財經報道，安全公司慢霧發布上周安全報告（2023年12月10日-12月16日），預計損失總額：8,428,033美元。關鍵事件：

1.Flooring Protocol Hack：針對與合約漏洞相關的Flooring Protocol的攻擊，引發了撤銷合約授權的緊急建議。

2. NFT Trader漏洞：重入問題導致重大損失，并隨后為返還被盜NFT支付賞金。

3. Ledger Connect Kit供應鏈攻擊：Ledger Connect Kit版本中的惡意代碼注入導致通過網絡釣魚攻擊導致資產被盜。

4. OKX DEX合約泄露：私鑰泄露問題導致代幣通過DEX代理被盜。

5. Peapods Finance白帽黑客攻擊：被白帽黑客黑客攻擊，大部分資金被退回，凸顯了主動安全措施的重要性。

6. Venus協議預言機攻擊：預言機攻擊影響了一個小型獨立礦池，展示了去中心化協議對預言機問題的脆弱性。

7. Stoic_DAO Rug Pull：Stoic_DAO的價格下滑導致重大損失，表明DeFi領域持續存在拉動風險。[2023/12/18 19:18:36]

慢霧：Balancer攻擊者費用來自釣魚組織AngelDrainer:9月20日消息，慢霧在X（原推特）發文表示，Balancer攻擊者的費用來自釣魚組織AngelDrainer，攻擊者通過BGP劫持攻擊網站后，誘導用戶“同意”轉移資金。攻擊者通過THORChain將ETH跨鏈至BTC地址，然后橋接回以太坊；Balancer攻擊者或與俄羅斯相關。[2023/9/20 11:55:23]

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]