安全公司：Punk Protocol被黑因其CompoundModel的Initialize函數未做重復初始化檢查

據慢霧區消息，去中心化年金協議 Punk Protocol 在公平啟動的過程中遭遇攻擊，慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作，將合約Forge角色設置為攻擊者指定的地址。

2.隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中，以取得抵押憑證cToken。

3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

4.withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。總結：本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

總結：本次攻擊的根本原因在于其 CompoundModel 的 Initialize 函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換 Forge 角色，最終造成合約管理的資產被盜。

安全公司：DeFi借貸協議Cream Finance攻擊者轉移約300萬美元:據成都鏈安鏈必追平臺監測顯示，Cream Finance的攻擊者將 3022735.901 DAI （價值約302萬美元）通過Curve Finance兌換為134.225renBTC，再將134.225 renBTC轉移至bc1qxn95s5c3q8y7q3w3gzgy0v74q05vvmvmsn8g8s地址，成都鏈安安全團隊將持續對新地址的資金進行分析和追蹤。據悉，2021年10月，DeFi抵押借貸協議Cream Finance遭遇閃電貸攻擊，損失1.3億美元。[2022/7/19 2:23:54]

安全公司：UTXO多簽機制可被用于發起對Blockbook的假充值攻擊，請注意排查風險:據官方消息，繼昨日慢霧安全團隊披露的 UTXO 多簽機制可被用于發起對交易所的假充值攻擊之后，慢霧區安全伙伴安全鷺(Safeheron)反饋了新的威脅情報，知名開源中間件 Blockbook (Trezor 開源產品) 也受此特性影響，安全鷺發現 Blockbook 獲取交易數據接口返回結果中對 MultiSig 類型交易展示不完善，如果 output 為 MultiSig 腳本，Blockbook 將會選擇腳本中最后一個地址展示，和普通地址交易無法區分 。如果交易所、錢包客戶端或者其它中心化服務僅根據 Blockbook 返回結果進行入賬判斷，將會造成誤判導致假充值。目前已知可能受此多簽特性影響的代幣有 BTC/LTC/DOGE/BCH/BSV/BHD/CPU/DFI/BTCV/BXC/ZCL，慢霧安全團隊建議相關運營方注意排查風險。[2022/4/8 14:12:53]

安全公司：黑客利用惡意Docker鏡像挖掘Monero:網絡安全公司Palo Alto Networks威脅研究部門Unit 42表示，最近發現的一個加密劫持挖礦方案使用惡意的Docker鏡像來隱藏加密貨幣挖礦代碼。

研究人員發現這個Docker鏡像六個變體，其中包含XMRig加密挖礦木馬，這使得黑客能夠從受損的Docker容器中挖掘門羅幣（Monero）。這些鏡像保存在官方Docker Hub存儲庫的一個賬戶中，下載次數超過200萬次。報告指出，其中一個與黑客有關的加密錢包里有大約525枚門羅幣，價值約3.6萬美元。（Data Breach Today）[2020/6/27]