【慢雾完成对Taproot Chain跨链桥模块智能合约的代码审计】

【慢雾完成对TaprootChain跨链桥模块智能合约的代码审计】2024年03月29日04点52分3月29日消息，比特币Layer2项目Taprootchain宣布，安全公司慢雾已完成对TaprootChain跨链桥模块智能合约的代码审计。审计报告显示，在修复了一个风险漏洞并采纳了6个改进建议后，慢雾给出的审计意见为低风险。此前，Taprootchain曾公告，主网已于3月28日上线，首期白名单空投活动已经圆满结束。跨链功能即将开启，白名单用户可以在开放后在官网领取白名单资格。

【慢雾：Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取】

【慢雾：Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取】2022年12月25日11点54分12月25日消息，据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队分享如下：1.Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行NativeToken兑换。在进行兑换前，会先检查用户传入的所需调用的目标Router是否在协议的白名单中。2.经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。3.不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。4.恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。

【慢雾创始人：GPT-4搞不定复杂的智能合约代码，但可作为审计辅助】

【慢雾创始人：GPT-4搞不定复杂的智能合约代码，但可作为审计辅助】2023年03月15日04点50分3月15日消息，慢雾创始人余弦发推称，“土狗的智能合约代码一般都简单，我相信GPT-4大概率都可以给出正确的安全建议，但复杂的智能合约代码，尤其是有人类诡辩思维在里面的，还有那种需要其他场景（或者更大范围上下文）的漏洞，GPT-4搞不定，但可以作为审计辅助（如果用好的话）。另外，AI可能会骗人。看来安全审计公司未来不仅可以用好GPT，还可以审计GPT是不是在‘作恶’。”

【慢雾推出HKSFC合规安全审计服务】

【慢雾推出HKSFC合规安全审计服务】2023年10月07日06点06分老不正经报道，慢雾推出HKSFC合规安全审计服务，目前慢雾安全团队已经为多家香港申请牌照的加密货币交易平台提供服务，包括：已完成申牌的HashKeyPro，正在申牌的HKBGE以及拟申牌的MEEX等平台。慢雾安全团队根据HKSFC最新的要求以及OWASP国际标准，结合慢雾的安全能力整理了面向HKSFC合规安全审计的Checklist。通过深入分析HKSFC的CirculartolicensedcorporationsReviewofinternettradingcybersecurity和GuidelinesforVirtualAssetTradingPlatformOperators要求，并结合多年的区块链安全从业经验，制定了面向HKSFC的合规安全审计项，另外根据OWASP国际标准以及慢雾独家的安全能力整理了Web,iOS,Android的安全审计项，在保证项目方符合HKSFC的要求后也能适配OWASP国际标准，包含以下内容：HKSFC23大合规要求；OWASPWeb13大合规要求；OWASPAndroid7大合规要求；OWASPiOS7大合规要求；慢雾整理的170+安全审计项。

慢雾余弦：首尾号钓鱼是概率游戏，用户可通过白名单、肉眼识别兜底等应对

慢雾余弦：首尾号钓鱼是概率游戏，用户可通过白名单、肉眼识别兜底等应对慢雾创始人余弦在社交媒体发文表示，针对首尾号钓鱼攻击，黑客玩的就是撒网攻击，愿者上钩，概率游戏，防范方式包括但不限于：肉眼核对关键步骤的钱包地址是否正确，不能只看首尾号；忽略钱包历史记录，因为历史记录污染是很容易的操作；转账/交易风控，大额往第一次出现的目标地址转账或某种交易操作（比如目标地址是个陌生合约），钱包会做风控提醒；白名单地址机制；钱包地址画像能力等等。

【慢雾简析Qubit被盗原因：对白名单代币进行转账操作时未对其是否是0地址再次进行检查】

【慢雾简析Qubit被盗原因：对白名单代币进行转账操作时未对其是否是0地址再次进行检查】据慢雾区情报，2022年01月28日，Qubit项目的QBridge遭受攻击损失约8000万美金。慢雾安全团队进行分析后表示，本次攻击的主要原因在于在充值普通代币与native代币分开实现的情况下，在对白名单内的代币进行转账操作时未对其是否是0地址再次进行检查，导致本该通过native充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为native代币进行检查。