慢霧余弦：閃電網絡的替換循環攻擊類似MEV的三明治攻擊，需警惕被夾風險

10月22日消息，慢霧創始人余弦在社交媒體上發文表示，閃電網絡出現了替換循環攻擊，與 MEV 里的三明治攻擊有些相似，利用前后夾擊套出被夾目標的資金。

這一攻擊方式的實施并不容易，需要滿足以下條件：

· 在受害者身上打開兩個通道。

· 通過這兩個通道中的其中一個路由付款。

· 成功替換循環受害者的 HTLC-timeouts 在Δ blocks 內。

· 同時，需要確保受害者不會發現 HTLC 預映像交易。

這個風險在被修復之前，使用閃電網絡的項目方在對接上下游建立通道前可以警惕下，最好和有信譽的建立，降低被夾風險，具體情況還需要進一步的測試和驗證。

其它快訊：

慢霧余弦：比特幣銘文CVE漏洞不代表有必要修復，是否修復要看Bitcoin Core的態度:金色財經報道，慢霧創始人余弦在社交媒體上表示，比特幣序號銘文被扣個CVE編號本來一個社區爭議的問題，但是爭議方把這事提交給CVE這種影響力深遠的漏洞平臺，NVD（許多人說的美國政府機構）等漏洞平臺也是采納CVE編號，整個安全甚至IT行業都認這些標準。但是有一個客觀事實：CVE漏洞不代表都一定會或有必要修復，尤其是漏洞評分等級不高的，比如比特幣序號銘文這個，5.3分（滿分10分），中危漏洞，我們如果看細節，影響這個最終分數有好幾個指標，其中有的指標是0分，Impact這個“影響”指標也才1.4分。如果是這種情況，最終修復與否還真要看Bitcoin Core的態度，修復后執行與否還得看礦池們、看有影響力的各位的態度。[2023/12/12 19:04:46]

慢霧余弦：Tron錢包允許不改變地址做權限/多簽變更可能導致其被惡意利用:金色財經報道，慢霧創始人余弦在社交媒體上發文稱，被惡意多簽是Tron錢包地址較為特別的一點，只有助記詞/私鑰被盜才可能被惡意多簽，此時權限僅掌握在攻擊者手里。攻擊者往往不著急轉走其中資產，因為受害者不一定及時發現自己的錢包地址被惡意多簽了，可能后續還會持續入賬。為什么說Tron錢包地址較為特別，因為其允許不改變地址的前提下做權限/多簽變更。其他類似的還有EOS、以太坊合約多簽/AA等這類地址，都有這種被惡意利用的特性。助記詞/私鑰保管好才是這個問題的關鍵。[2023/12/5 18:49:17]

慢霧余弦：哪怕安全審計過的DeFi都可能存在權限過大風險:慢霧科技創始人今日發微博稱，哪怕安全審計過的DeFi都可能存在權限過大風險，“權限過大”一直以來是個爭議，就看這些權限是什么，比如常見的：鑄幣、銷毀、升級、關鍵數值調整、關鍵權限變更、關鍵風控等等，“權限過大”極端了就可能就成為某種“后門”，這個是需要警惕的。DeFi項目方有責任解釋“權限過大”的意圖，透明出來；安全審計公司也有義務。[2020/9/2]