慢霧安全提醒：Rabby錢包項目Swap合約存在外部調用風險，請迅速取消授權

金色財經報道，據慢霧安全團隊情報,2022年10月11號,ETH鏈上的Rabby錢包項目的Swap合約被攻擊,其合約中代幣兌換函數直接通過OpenZeppelin Addresslibrary中的functionCallWith Value函數進行外部調用，而調用的目標合約以及調用數據都可由用戶傳入，但合約中并未對用戶傳入的參數進行檢查，導致了任意外部調用問題。攻擊者利用此問題竊取對此合約授權過的用戶的資金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權并提取資金以規避風險。

截止目前，Rabby Swap事件黑客已經獲利超19萬美元，資金暫時未進一步轉移。黑客地址的手續費來源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。

關于慢霧安全審計未發現Parallel Finance漏洞的不實消息的聲明:7月11日消息，針對今日媒體報道慢霧安全審計了遭受重入攻擊的DeFi平臺Parallel Finance項目智能合約一事，慢霧安全再次聲明，近日發生重入攻擊的項目是Omni Protocol，該項目是Parallel Finance項目的另一個項目，慢霧審計的是Parallel Finance在波卡生態里的項目代碼，具體的審計報告可見原文鏈接。針對上述事件，慢霧將保留依法追究名譽侵犯的權利。

此前消息，DeFi平臺Parallel Finance遭受重入攻擊，導致了約200萬美元的損失。[2022/7/11 2:06:00]

慢霧安全提醒：Discord，Telegram頻道公告權限設置提醒:據慢霧安全情報，近期存在項目因 Discord 管理賬戶權限設置問題而造成管理賬戶被接管，并通過公告頻道發布釣魚鏈接，導致社區用戶遭受損失的事件。在此提醒各位注意添加頻道權限設置，管理公告發布，預防仿冒官方人員名稱發布公告及網絡鏈接釣魚問題。[2021/12/24 8:00:42]

動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到，門羅幣修復新型假充值攻擊漏洞，問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一，如果使用了這個機制來接收用戶的匿名轉賬，攻擊者可以向隱身地址發起惡意構造的重復轉賬，交易所錢包沒對這些重復轉賬進行正確性校驗的話，就可能會導致“假充值”攻擊發生，從而造成嚴重損失。[2018/9/27]