宇宙链 宇宙链
Ctrl+D收藏宇宙链

Beosin:Avalanche 链上 Platypus 项目损失 850 万美元攻击事件解析

作者:

时间:1900/1/1 0:00:00

据区块链安全审计公司Beosin旗下?BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用PlatypusFinance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP。

Beosin:攻击者利用多签钱包执行了修改TradingHelper合约的router地址的交易:2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。

Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。

Beosin提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。[2023/2/21 12:19:54]

由于攻击者自身存在利用LP-USDC借贷的大量债务,那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品。

Beosin成为BNB Chain Kickstart Program官方安全审计服务商:据官方消息,近日,区块链安全公司Beosin宣布正式成为BNB ChainKickstart Program官方安全审计服务商。据了解,BNB Chain启动的“Kickstart Program”计划,旨在帮助区块链开发人员在业内机构的支持下开始他们的项目。[2023/2/16 12:10:16]

归还4400万USDC闪电贷后,攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。

Beosin:2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道,2022 年全年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起,因各类攻击造成的总损失超 36 亿美元,较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起,1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]

标签:EOSSINTERLATNEOS币MARSINU价格Statter Networklat币最新消息

比特币价格实时行情热门资讯
Su Zhu 新债权市场“OPNX”官网上线,用户可申请加入理赔候补名单

由三箭资本创始人ZhuSu等人创办的CEX项目“GTX”正式公布名称“OPNX”,目前平台官网已上线,用户可申请加入理赔候补名单.

1900/1/1 0:00:00
OKX 发布 CELT 情况说明及处置方案,将使用超 300 万 USDT 对受损用户进行空投

OKX发布“关于OKX平台CELT项目价格大幅波动情况说明及处置方案”,表示CELT是OKXVentures于2021年9月投资的Gamefi项目,投资金额为10万美金,这些代币均锁定于OKXVentures账户中并未进行任何操作.

1900/1/1 0:00:00
详解 Lido V2 提案:允许取消质押,引入新架构以实现进一步去中心化

原文标题:《IntroducingLidoV2—NextStepInDecentralization》 编译:DeFi之道 2月7日,Lido正式发布了LidoV2提案,这是该协议迄今为止最大规模升级.

1900/1/1 0:00:00
解读香港证监会咨询文件:虚拟交易是“少设限”还是“高门槛”?

撰文:?肖飒lawyer2023年2月20日,香港证监会就监管虚拟资产交易平台的建议,发布了《有关适用于获证券及期货事务监察委员会发牌的虚拟资产交易平台营运者的建议监管规定的咨询文件》.

1900/1/1 0:00:00
加密孵化器 Afflux 携手 NFT 服务商 UneMeta 举办日本专场路演,展望日本 Web3 新未来

作者:Afflux 由Afflux主办,日本第一风险投资机构Skyland、日本第一NFT公司UneMeta倾力相助,PlugChain、BingVentures、PicaPica和NIFTYIN赞助.

1900/1/1 0:00:00
Vitalik Buterin:关于加密支付,我的个人体验和小建议

撰文:VitalikButerin编译:Katie辜,Odaily星球日报2013?年,我去了旧金山互联网档案馆旁边的一家寿司店,因为我听说那里接受比特币支付,就想试一下。到了付账的时候,我要求用比特币支付.

1900/1/1 0:00:00