慢霧：LDO的Token合約存在潛在的“假充值”風險

金色財經報道，據慢霧安全團隊鏈上情報，LDO的token合約在處理轉賬操作時，如果轉賬數量超過用戶實際持有的數量，該操作并不會觸發交易的回滾。相反，它會直接返回一個`false`作為處理結果。這種處理方式與許多常見的ERC20標準token合約不同。

由于上述特性，存在一種潛在的“假充值”風險。惡意攻擊者可能會嘗試利用這一特性進行欺詐行為。

慢霧建議如下：

1. 在處理token到賬的邏輯時，不僅僅依賴于交易的成功或失敗，還需要根據token合約的實際返回值進行判斷。

2. 請注意，市場上存在許多非ERC20標準的token合約。在接入新的token之前，務必對其合約代碼進行深入的理解和分析，確保實現正確的入賬邏輯。

3. 建議定期進行代碼審計和安全檢查，確保系統的健壯性和安全性。

Token合約的實現和行為可能因項目而異。為了確保資金的安全和交易的準確性，強烈建議在接入任何新的token之前，深入理解其合約邏輯并進行充分的測試。

其它快訊：

慢霧：發現BNB Chain上一惡意合約地址，建議用戶快速驗證并撤銷異常授權:8月20日消息，慢霧在推特發文提醒：請用戶檢查是否已將資產授權到BNB Chain上的一惡意合約地址：0x75117c9158f53998ce8689B64509EFf4FA10AD80。

該惡意合約尚未通過開源進行驗證，但反編譯顯示其存在針對授權資產的任意轉賬后門。這種類型的后門讓用戶錢包在很長一段時間內保持正常使用，但當某天轉移一筆金額稍大的資產時，它會突然被盜，而鏈上不會顯示任何最近的異常授權。

用戶可使用Revoke.cash和Rabby Wallet進行快速驗證并撤銷異常授權。以下是與上述合約相關的惡意地址：0xE2A178C2C5C4920C1b2B947A35edDb4f8EcBb7dD、0xB88457b62491CBcEc42203672cFcb4269d64c7e。請用戶保持警惕。[2023/8/20 18:11:40]

慢霧：Platypus再次遭遇攻擊，套利者獲取約5萬美元收益:7月12日消息，SlowMist發推稱，穩定幣項目Platypus似乎再次收到攻擊。由于在通過CoverageRatio進行代幣交換時沒有考慮兩個池之間的價格差異，導致用戶可以通過存入USDC然后提取更多USDT來套利，套利者通過這種方式套利了大約50,000美元USDC。[2023/7/12 10:50:27]

動態 | 慢霧： 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張，有攻擊者開始利用交易所/DApp提幣功能惡意挖礦，請交易所/DApp在處理EOS及EOS上Token的提幣時，注意檢查用戶提幣地址是否是合約賬號，建議暫時先禁止提幣到合約賬號，避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時，需要注意部分交易所的EOS充值錢包地址也是合約賬號，需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]