安全團隊：EGD_Finance遭受黑客攻擊，代幣價格被閃電貸操控

8月8日消息，據慢霧區消息，BSC上的EGD_Finance項目遭受黑客攻擊，導致其池子中資金被非預期的取出。慢霧安全團隊進行的分析如下：

1.由于EGD_Finance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格，而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格

2.攻擊者利用這個點先閃電貸借出池子里大量的USDT，使得EGD代幣的價格通過計算后變的很小，因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多，從而導致池子中的EGD代幣被非預期取出

本次事件是因為EGD_Finance的合約獲取獎勵時計算獎勵的喂價機制過于簡單，導致代幣價格被閃電貸操控從而獲利。

其它快訊：

安全團隊：New Free DAO (NFD) 項目遭遇數次閃電貸攻擊:9月8日消息，CertiK天網監測到New Free DAO (NFD) 項目遭遇了數次閃電貸攻擊。漏洞在NFD項目部署的一個未經驗證的獎勵合約中，攻擊者利用閃電貸借入NFD代幣，并將其發送到攻擊合約，而攻擊合約則調用未經驗證的獎勵合約，向攻擊者發送更多的NFD代幣。攻擊者在3次攻擊中重復這個過程，獲得了4481個WBNB，價值約125萬美元。[9/8/2022 8:20:11 PM]

安全團隊：加密項目TiFi Token發生Rug Pull:8月3日消息，派盾（PeckShield）監測顯示，加密項目TiFi Token發生Rug Pull，代幣TiFi價格下跌 20%，合約部署者獲利約700BNB。[8/3/2022 10:10:47 AM]

Poly Network攻擊者：很少看到專業安全團隊報告已上線合約的關鍵漏洞:Poly Network攻擊者再次留下鏈上信息，主要內容如下：

1.FBI沒有試圖聯系我。我很高興他們和其他安全團隊可能會從這場“游戲”中受益。對研究人員來說，甚至攻擊本身就是“一種享受”。

2.對我來說，觀看頂級安全團隊的應急反應很有趣（當然只在區塊鏈行業中）。

注：以下時間線可能是錯誤的：

3.一開始，大多數專家都在談論內幕陰謀的單個Keeper。根據我所看到的，@kelvinfichter是第一個指出ETH合約中最關鍵但也最明顯錯誤的人。慢霧團隊宣布了關于資金蹤跡的好消息。但他們不覺得這太明顯了嗎？無論如何，他們讓社區冷靜下來了。這是一個意想不到的副作用，但非常重要。后來，他們似乎忙于處理來自媒體和社區的詢問。我很高興他們在幫助我完成指導或教育部分的事情。宛如黑暗騎士找到了他的哈維·登特（DC反派雙面人）！謝謝慢霧團隊。其他安全團隊似乎沒有慢霧那么活躍，但他們為解釋這次攻擊的更多細節做出了貢獻。我認為Certik是第一個發布關于本體調用缺失的團隊。派盾還提到了啟動交易和特殊簽署人。強啊！

4.安全是一項艱巨的工作，無論是在傳統世界還是加密世界。大多數情況下，安全專家只是在事后作為法醫被傳喚，寫寫“驗尸報告”，有時會追蹤作惡者。也有一些項目不是非常迫切地尋回資金，因為這不是他們的錢，他們會告訴真正的受害者：“抱歉，我們嘗試了，但無法保證極端的安全”。

另一個有趣的事實是，很少看到任何專業的安全團隊報告已上線合約的關鍵漏洞。當然，他們總能在這些項目“死后”告訴你死因。為什么你沒有看到安全團隊發現了數百萬美元乃至數十億美元漏洞的案例？因為沒付錢？我想大多數安全團隊都比我有錢，有些團隊可能比我更有能力，你相信他們從來沒有遇到過類似的誘惑嗎？還是其中的一些人向邪惡屈服了？這讓人想起了電影《網絡謎蹤》。這只是我的陰謀論，這就是我不相信任何人的原因，但你可以永遠相信我。[8/14/2021 6:00:35 PM]