【Cream闪电贷攻击报告：关键漏洞在于可包装代币的价格计算，损失1.3亿美元】

【Cream闪电贷攻击报告：关键漏洞在于可包装代币的价格计算，损失1.3亿美元】 11月1日消息，抵押借贷平台 Cream Finance 针对 10 月 27 日闪电贷攻击发布详细报告，表示正在与当局合作追踪攻击者，此次攻击损失约 1.3 亿美元，将在未来几天公布详细的还款计划。Cream 表示，此次攻击混合了经济攻击和预言机攻击，攻击者从 MakerDAO 闪电贷出 DAI 来创建大量 yUSD 代币，同时通过操纵多资产流动性池，利用价格预言机计算 yUSD 价格，yUSD 价格升高后，攻击者的 yUSD 头寸增加，创造了足够的借入限额来抵消 Cream 以太坊 v1 市场的流动性。Cream 称已暂停 Cream Finance 中以太坊 v1 市场的所有交互，关键漏洞在于可包装代币的价格计算，已经停止了所有可包装代币的供应 / 借贷，包括所有 PancakeSwap LP 代币。

【Inverse Finance再次遭受闪电贷漏洞攻击】

【Inverse Finance再次遭受闪电贷漏洞攻击】 Inverse Finance 再次遭受闪电贷漏洞攻击，攻击者利用 Tether (USDT) 和 Wrapped Bitcoin (WBTC) 窃取了 126 万美元。 最新的利用通过使用闪电贷款来操纵协议货币市场应用程序使用的流动性提供者 (LP) 代币的价格预言。这使得攻击者可以借用比他们发布的抵押品数量更多的协议稳定币DOLA，让他们将差额收入囊中。 金色财经此前报道，Inverse Finance遭遇攻击损失4,300枚ETH，约合1496万美元。

【Indexed Finance已执行提案16，处理相关指数池并消除漏洞】

【Indexed Finance已执行提案16，处理相关指数池并消除漏洞】 11月29日消息，被动收益协议Indexed Finance发推称，提案16“从被攻击的指数池中恢复资产并销毁，升级其余池”已经执行。池重新平衡机制中的漏洞已被删除。DEGEN、NFTP和ORCL5池现在是安全的。DEFI5、CC10、FFF池内的剩余资产已转入Indexed Treasury。Uniswap LP池的ETH已被耗尽。 此前报道，Indexed Finance公布攻击事件补偿计划，Indexed Finance DAO对补偿计划参数进行了投票，结果如下：补偿计划将通过Pickle Cornichons实施；将发行两种单独的申领代币；任何链上所有受影响代币持有人所遭受损失的99.32%将得到赔偿，任何链上所有相关流动性代币持有人所遭受损失的88.5%将得到补偿。

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频，Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞，攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染，该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞，#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似，#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能，避免攻击者利用类似的漏洞发起针对性的攻击

所有 AMD Zen 2 CPU 均受影响，谷歌专家发现 Zenbleed 远程执行漏洞

所有 AMD Zen 2 CPU 均受影响，谷歌专家发现 Zenbleed 远程执行漏洞 该漏洞追踪编号为 CVE-2023-20593，能以每核心每秒 30KB 的速度窃取机密数据。此攻击会影响 CPU 上运行的所有软件，包括虚拟机、沙箱、容器和进程。

【Beosin：SEAMAN合约遭受漏洞攻击简析】

【Beosin：SEAMAN合约遭受漏洞攻击简析】 根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。 攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。