2月17日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用PlatypusFinance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP,由于攻击者自身存在利用LP-USDC借贷的大量债务,那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品。归还4400万USDC闪电贷后,攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。。
Beosin:1月各类攻击事件损失总金额约1464万美元,较去年12月下降约77%:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年1月,各类安全事件涉及金额较2022年12月持续大幅下降。1月发生较典型安全事件超『19』起,各类攻击事件损失总金额约1464万美元,较去年12月下降约77%,比2022年任何一个月的损失金额都要低。
本月较大的安全事件为HECO生态跨链借贷平台LendHub因没有弃用旧合约而被攻击,损失近600万美元。此外,两起个人钱包被盗事件损失均超过百万美元,钱包的安全性问题依旧不容忽视。在黑客猖獗的2022年过去之后,2023开年的区块链安全态势总体相对平稳。本月针对项目方的攻击事件呈下降趋势,反倒是一些针对个人用户钱包、社媒账号的攻击事件有所增加。Beosin建议个人用户一定要提高防钓鱼意识,规范操作。本月发生的典型跑路事件均是通过后门代码进行Rug Pull,建议用户在交互前一定要仔细查看相关的审计报告,避免资产遭受损失。[2023/1/31 11:38:34]
Beosin:Rabby项目遭受黑客攻击,涉及金额约20万美元:金色财经报道,据Beosin EagleEye Web3安全预警与监控平台监测显示,Rabby项目遭受黑客攻击。因为RabbyRouter的_swap函数存在外部调用,任意人都可以调用该函数,转走授权该合约用户的资金。目前攻击者已在Ethereum,BSC链,polygon,avax,Fantom,optimistic,Arbitrum发起攻击,请用户取消对相应合约的授权。以下是存在问题的合约:
Bsc合约地址:0xf756a77e74954c89351c12da24c84d3c206e5355、
Ethereum合约地址:0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1、
optimistic合约地址:0xda10009cbd5d07dd0cecc66161fc93d7c9000da1、
avax合约地址:0x509f49ad29d52bfaacac73245ee72c59171346a8、
Fantom合约地址:0x3422656fb4bb0c6b43b4bf65ea174d5b5ebc4a39、
Arbitrum合约地址:0xf401c6373a63c7a2ddf88d704650773232cea391、
Beosin安全团队分析发现攻击者(0xb687550842a24D7FBC6Aad238fd7E0687eD59d55)已把全部获得的代币兑换为相应平台币,目前被盗资金已全部转移到Tornado Cash中。Beosin Trace将对被盗资金进行持续追踪。[2022/10/12 10:31:31]
Beosin:BNBChain上THB项目遭受攻击事件分析:10月1日消息,据Beosin EagleEye平台监测显示,THB项目遭受攻击。Beosin安全团队分析发现攻击者0xbC62b9BA570aD783d21E5eB006F3665D3f6bBA93利用重入漏洞盗取THBR NFT,攻击合约0xfed1b640633fd0a4d77315d229918ab1f6e612f9,攻击交易0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0
目前盗取的8个NFT任在攻击者账户(0xfeD1...12f9)。[2022/10/1 18:36:58]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。