慢霧：Balancer正遭受BGP Hijacking攻擊

金色財經報道，據慢霧區情報，Balancer正遭受BGP Hijacking攻擊，訪問該網站鏈接錢包后會遭受釣魚攻擊。根據CloudFlare的BGP Origin Hijack-17957顯示，ASNs受害者列表中包含balancer所屬的AS13335。目前訪問該網站會收到CloudFlare的釣魚安全提醒。慢霧安全團隊對本次事件的分析：

1、查詢域名Balancer的DNS解析記錄，A記錄中地址為104.21.37.47和172.67.203.244。這兩個IP地址的所屬BGP AS區域號為AS13335，并且該AS屬于CloudFlare。

2、根據CloudFlare的記錄顯示，AS13335正在BGP Origin Hijack攻擊的AS列表中。

3、發現Balancer的HTTPS證書被更換為攻擊者的證書。

4、目前訪問Balancer會收到CloudFlare的釣魚安全提醒。

5、經過分析，app.balancer.fi的前端存在惡意的JavaScript代碼。

6、用戶使用錢包連接 app.balancer.fi惡意腳本會自動判斷余額并進行釣魚攻擊。

7、經過MistTrack分析，惡意地址如下：

0x00006DEAcd9ad19dB3d81F8410EA2B45eA570000；

0x645710Af050E26bB96e295bdfB75B4a878088d7E；

0x0000626d6DC72989e3809920C67D01a7fe030000。

慢霧安全團隊提醒用戶，目前針對Balancer的BGP攻擊還在持續進行，請暫時停止訪問Balancer的網站，避免遭受攻擊。

其它快訊：

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

慢霧：Harmony Horizon bridge遭攻擊簡析:據慢霧安全團隊消息，Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析，攻擊者（0x0d0...D00）獲利超 1 億美元，包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊鏈攻擊者將大部分代幣轉移到兩個新錢包地址，并將代幣兌換為 ETH，接著將 ETH 均轉回初始地址（0x0d0...D00），目前地址（0x0d0...D00）約 85,837 ETH 暫無轉移，同時，攻擊者在 BNB 鏈暫無資金轉移操作。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/6/24 1:28:30]

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]