慢霧：TrustPad遭受攻擊是由于獲取錯誤的LockStartTime導致鎖定時間被篡改

金色財經報道，據SlowMist發文表示，TrustPad質押合約遭受攻擊事件更新：根據分析，由于獲取了錯誤的LockStartTime，鎖定時間被篡改。

早些時間報道，跨鏈融資平臺TrustPad在社交平臺上表示，一個質押合約遭受攻擊。目前正在全力進行調查。

其它快訊：

慢霧：發現BNB Chain上一惡意合約地址，建議用戶快速驗證并撤銷異常授權:8月20日消息，慢霧在推特發文提醒：請用戶檢查是否已將資產授權到BNB Chain上的一惡意合約地址：0x75117c9158f53998ce8689B64509EFf4FA10AD80。

該惡意合約尚未通過開源進行驗證，但反編譯顯示其存在針對授權資產的任意轉賬后門。這種類型的后門讓用戶錢包在很長一段時間內保持正常使用，但當某天轉移一筆金額稍大的資產時，它會突然被盜，而鏈上不會顯示任何最近的異常授權。

用戶可使用Revoke.cash和Rabby Wallet進行快速驗證并撤銷異常授權。以下是與上述合約相關的惡意地址：0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。請用戶保持警惕。[2023/8/20 18:11:40]

慢霧：Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋，Moonbirds 發布安全公告，Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣，而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架，如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

慢霧：Cover協議被黑問題出在rewardWriteoff具體計算參數變化導致差值:2020年12月29日，慢霧安全團隊對整個Cover協議被攻擊流程進行了簡要分析。

1.在Cover協議的Blacksmith合約中，用戶可以通過deposit函數抵押BPT代幣；

2.攻擊者在第一次進行deposit-withdraw后將通過updatePool函數來更新池子，并使用accRewardsPerToken來記錄累計獎勵；

3.之后將通過_claimCoverRewards函數來分配獎勵并使用rewardWriteoff參數進行記錄；

4.在攻擊者第一次withdraw后還留有一小部分的BPT進行抵押；

5.此時攻擊者將第二次進行deposit，并通過claimRewards提取獎勵；

6.問題出在rewardWriteoff的具體計算，在攻擊者第二次進行deposit-claimRewards時取的Pool值定義為memory，此時memory中獲取的Pool是攻擊者第一次withdraw進行updatePool時更新的值；

7.由于memory中獲取的Pool值是舊的，其對應記錄的accRewardsPerToken也是舊的會賦值到miner；

8.之后再進行新的一次updatePool時，由于攻擊者在第一次進行withdraw后池子中的lpTotal已經變小，所以最后獲得的accRewardsPerToken將變大；

9.此時攻擊者被賦值的accRewardsPerToken是舊的是一個較小值，在進行rewardWriteoff計算時獲得的值也將偏小，但攻擊者在進行claimRewards時用的卻是池子更新后的accRewardsPerToken值；

10.因此在進行具體獎勵計算時由于這個新舊參數之前差值，會導致計算出一個偏大的數值；

11.所以最后在根據計算結果給攻擊者鑄造獎勵時就會額外鑄造出更多的COVER代幣，導致COVER代幣增發。具體accRewardsPerToken參數差值變化如圖所示。[2020/12/29 15:58:07]