慢霧余弦：閃電網絡的替換循環攻擊類似MEV的三明治攻擊，需警惕被夾風險

10月22日消息，慢霧創始人余弦在社交媒體上發文表示，閃電網絡出現了替換循環攻擊，與 MEV 里的三明治攻擊有些相似，利用前后夾擊套出被夾目標的資金。

這一攻擊方式的實施并不容易，需要滿足以下條件：

· 在受害者身上打開兩個通道。

· 通過這兩個通道中的其中一個路由付款。

· 成功替換循環受害者的 HTLC-timeouts 在Δ blocks 內。

· 同時，需要確保受害者不會發現 HTLC 預映像交易。

這個風險在被修復之前，使用閃電網絡的項目方在對接上下游建立通道前可以警惕下，最好和有信譽的建立，降低被夾風險，具體情況還需要進一步的測試和驗證。

其它快訊：

慢霧余弦：若用戶的錢包或平臺不支持比特幣生態新協議的完美兼容，對應資產可能會被丟失:金色財經報道，慢霧創始人余弦在社交媒體上發文表示，最近用戶Atomicals資產丟失原因已找到，看了官方協議介紹這種燃燒機制實在是有點開眼界。如果你用的錢包或平臺不支持新協議的完美兼容，對應的資產就可能會被搞丟。[2023/12/21 19:25:32]

慢霧余弦：自動化平臺/工具確實方便，但使用時務必有能力駕馭:金色財經報道，慢霧創始人余弦在社交媒體上表示，前幾天有人玩Atomicals資產ATOM被盜，原因是因為一些人在推特大力宣傳使用Replit這個在線編程平臺來運行atomicals-js方便自動化做Atomicals資產相關操作。

Replit本身看似沒問題，這種宣傳看似也沒什么問題，但問題出在Replit平臺的公開性及玩家的安全意識匱乏，你用的atomicals-js任何人都可以看到，包括你在其中配置的助記詞/私鑰/地址等信息。

于是通過簡單的Google Hacking等技巧就可以發現這些泄露，導致資產被盜。需要注意的是，自動化平臺或工具確實方便，使用時務必有能力駕馭。這里影響的不僅是一些玩家的Atomicals資產，我們還看到了其他鏈的銘文資產。[2023/12/13 19:06:10]

慢霧余弦：今早兩起friend.tech私鑰被盜事件用戶均使用FriendSniper的Telegram Bot:金色財經報道，慢霧創始人余弦在社交媒體上發文表示，今早我們收到兩封被盜提交的表單信息，發現都是friend.tech用戶私鑰有關的被盜，均使用了FriendSniper的Telegram Bot。此前慢霧成功攔截的被盜也懷疑是這個Bot泄漏的私鑰。[2023/11/6 17:42:54]