慢雾安全工程师：安全审计是目前保护DeFi项目安全最高性价比的方式

12月30日，在慢雾科技主办的Hacking Time区块链安全攻防峰会上，慢雾科技高级安全工程师yudan和Kong根据bZx最早期的两次闪电贷攻击案例，介绍了闪电贷基本的攻击形式——代币价格操纵，详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下，如何利用闪电贷另辟蹊径，通过操纵 LP Token的单价来进行获利。并通过慢雾被黑档案库与大家一起回顾了2020 DeFi被黑事件。

yudan和Kong认为，DeFi安全形势严峻，安全审计是目前保护项目安全最高性价比的方式。在当下DeFi黑暗森林里我们在临渊而行，需如履薄冰。

相关快讯：

声音 | 慢雾余弦：压测是一件非常有意思且有意义的事 对主网进化有正面作用:针对BSV网络昨晚出现210MB大小区块，慢雾余弦发文表示，公链主网的发展，一定是进化的发展，这对接入主网的节点各方面的性能要求也会越来越高，大趋势都是如此。当然如果节点在这方面跟不上，短期来说确实会造成一些不稳定性困扰，但长期来说，如果这是一条价值公链，这些节点都会跟上。压测是一件非常有意思且有意义的事，任何人都可以做，包括作恶者，这是任何一条链都无法逃避的事实，压测对主网的进化是个很正面的事，哪怕这个过程可能带来一些意想不到的困扰。

今早消息，慢雾团队曾评价BSV内测事件称，客观来说这是一次成功的压测，压测持续了约2小时(2000～23:00)，未造成区块回滚，且不影响正常交易。这次的压测，我们也暂无收到合作的各大交易所的异常反馈，比起对上一次4月份的BSV“压测”反应来看，这次要温和多了。看得出整个BSV生态对这次“压测”持有正面积极的态度。[2019/8/4]

动态 | 慢雾安全团队发布门罗币攻击严重漏洞预警:慢雾安全团队注意到，门罗币修复新型假充值攻击漏洞，问题出现在钱包处理隐身地址(stealth address)收款的校验机制上。隐身地址是门罗币匿名的关键机制之一，如果使用了这个机制来接收用户的匿名转账，攻击者可以向隐身地址发起恶意构造的重复转账，交易所钱包没对这些重复转账进行正确性校验的话，就可能会导致“假充值”攻击发生，从而造成严重损失。[2018/9/27]

声音 | 慢雾安全团队针对USDT充值漏洞做出回应:据火讯财经报道，慢雾安全团队针对USDT充值漏洞做出了回应，他们表示：“关于 USDT ‘虚假充值’的事件，目前许多交易所也都发了公告声明说不存在该问题了，存在该问题的交易所也都获取了情报在第一时间修复了，目前应该已经不存在此问题了。我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意，挤挤总会有的，多重磅都可以搞个出来，没什么好说，但只要是事件，就代表已经发生，披露我们尽最大努力走负责任路线。我们在给甲方做安全时，会全面带入我们的情报网络，这种价值，似乎还不好量化，但懂的人，会很感激我们。”[2018/7/3]

相关资讯