Beosin：Avalanche 链上 Platypus 项目损失 850 万美元攻击事件解析

据区块链安全审计公司Beosin旗下?BeosinEagleEye安全风险监控、预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用PlatypusFinance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP。

Beosin：攻击者利用多签钱包执行了修改TradingHelper合约的router地址的交易:2月21日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。

Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。[2023/2/21 12:19:54]

由于攻击者自身存在利用LP-USDC借贷的大量债务，那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品。

Beosin成为BNB Chain Kickstart Program官方安全审计服务商:据官方消息，近日，区块链安全公司Beosin宣布正式成为BNB ChainKickstart Program官方安全审计服务商。据了解，BNB Chain启动的“Kickstart Program”计划，旨在帮助区块链开发人员在业内机构的支持下开始他们的项目。[2023/2/16 12:10:16]

归还4400万USDC闪电贷后，攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。

Beosin：2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道，2022 年全年，Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起，因各类攻击造成的总损失超 36 亿美元，较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起，1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]

标签：EOSSINTERLATNEOS币MARSINU价格Statter Networklat币最新消息

比特币价格实时行情热门资讯