【Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币】

【Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币】 据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。 1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。 2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。 3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。 4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。 此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。

#DogeGirl 是一个与 DogeBoy 相关的 MEME 代币。

#DogeGirl 是一个与 DogeBoy 相关的 MEME 代币。 合约累积后自动回购DogeBoy，并将DogeBoy代币赠与所有DogeGirl持有者。 相同的 DogeBoy 团队，相同的社区，相同的目标，DogeBoy 在 ath 中达到了 3500 倍 Avedex 上的趋势 8% 购买税 4% 营销 3% DogeBoy 奖励 1% 流动性 8% 销售税 4% 营销 3% DogeBoy 奖励 1% 流动性 立即在 Pancakeswap 上购买：https://pancakeswap.finance/swap?outputCurrency=0x978396a2fE2C0d3C69dac6C60263E6E5B7B03020 图表：https://poocoin.app/tokens/0x978396a2fe2c0d3c69dac6c60263e6e5b7b03020 LP 锁定 1 年：https://www.pinksale.finance/pinklock/record/1072378?chain=BSC 英文TG：https://t.me/DogeGirlBSC2023 ⇨中文TG：https://t.me/DogeGirlChinese DogeBoy TG：https://t.me/DogeBoyBSC2022

已关闭 BunnySwap、Clubs 和 v1 智能合约的所有协议费用

已关闭 BunnySwap、Clubs 和 v1 智能合约的所有协议费用 7 月 4官方表示，FRIEND 一直旨在成为一个完全由社区控制的代币，用于支持 Clubs 合约。迁移供应和流动性不符合这一初衷。用户仍然可以在应用的 Base 中创建俱乐部、聊天、购买 keys，并使用 FRIEND。 已经关闭了 BunnySwap、Clubs 和 v1 智能合约的所有协议费用。现在，100% 的费用将归属于社区中的交易者、流动性提供者和俱乐部主席。

FLOKI WRESTLER 代币

FLOKI WRESTLER 代币 Floki Wrestler 是 Floki 和 WWE 粉丝的最新加密货币。持有 Floki Wrestler 代币，加入对各地摔跤迷来说最有价值的社区。 它是币安智能链上的通货紧缩代币，具有自动流动性和许多社区奖励。我们的使命是为 Floki 和摔跤迷提供一个社区，奖励他们对 WWE 和所有其他形式的摔跤的热情。 代币经济学： • 0% 购买费 • 12% 的销售费用 • 3% 自动流动性 • 3% 奖励给持有者 • 3% 营销钱包 • 3% 燃烧 代币信息： • 名称：Floki Wrestler • 符号：FLOKIWRESTLER • 代币类型：实用程序 • 总供应量：100 Quadrillion 得到 WWE 世界重量级冠军 The Great Khali 的支持 发布前完成审核 开发人员对 ID 审计和视频聊天进行了 Doxxed 流动性将被锁定 合约验证 船上有更多 WWE 超级巨星（加入 TG 以获得惊喜） 大规模营销计划 NFT 和游戏即将推出！！ 以下是您作为 Floki Wrestler Token 持有者的奖励机会： 奖金基金 每周赠品 每月比赛 WWE 2K20 赠品 比赛门票 社交链接： 网址：https://flokiwrestler.com/ 推特：https://twitter.com/FlokiWrestler 电报：https://t.me/FlokiWrestler Instagram: https://www.instagram.com/FlokiWrestler/

【Yearn：yUSDT代币合约中漏洞存在于多个版本，下游协议的流动性提供者仍受影响】

【Yearn：yUSDT代币合约中漏洞存在于多个版本，下游协议的流动性提供者仍受影响】 4月14日消息，Yearn Finance在推特上发布攻击事件调查进展，称如之前所诉，Yearn被攻击的根本原因是遗留在iEarn USDT (yUSDT) 代币合约中的漏洞。这个漏洞存在于多个版本中，并导致多个Curve池（y、busd、pax）被利用和耗尽。将LP代币存入下游协议的流动性提供者仍然受到影响，这包括封装这些受影响的LP的Yearn v2保险库 (2)和旧版v1保险库(2)的用户。在之前的推文中，Yearn表示，当前版本Yearn v2 Vaults不受影响。 此前昨日消息，Yearn Finance项目遭受攻击，黑客获利超1000万美元。

【Cream闪电贷攻击报告：关键漏洞在于可包装代币的价格计算，损失1.3亿美元】

【Cream闪电贷攻击报告：关键漏洞在于可包装代币的价格计算，损失1.3亿美元】 11月1日消息，抵押借贷平台 Cream Finance 针对 10 月 27 日闪电贷攻击发布详细报告，表示正在与当局合作追踪攻击者，此次攻击损失约 1.3 亿美元，将在未来几天公布详细的还款计划。Cream 表示，此次攻击混合了经济攻击和预言机攻击，攻击者从 MakerDAO 闪电贷出 DAI 来创建大量 yUSD 代币，同时通过操纵多资产流动性池，利用价格预言机计算 yUSD 价格，yUSD 价格升高后，攻击者的 yUSD 头寸增加，创造了足够的借入限额来抵消 Cream 以太坊 v1 市场的流动性。Cream 称已暂停 Cream Finance 中以太坊 v1 市场的所有交互，关键漏洞在于可包装代币的价格计算，已经停止了所有可包装代币的供应 / 借贷，包括所有 PancakeSwap LP 代币。