安全公司：SushiSwap的BentoBoxv1合约遭受攻击，黑客获利约2.6万美元

据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，SushiSwap的BentoBoxv1合约遭受攻击，黑客获利约2.6万美元。

FTX CEO：网络安全公司Sygnia就黑客攻击事件向FTX提供咨询:金色财经报道，FTX新任首席执行官John J. Ray III周一在特拉华州破产法庭上表示，在 FTX 去年 11 月遭受大规模黑客攻击后，网络安全公司Sygnia正在该公司提供建议，Ray表示：“这个案例是关于网络安全的失败，他们的服务至关重要，正如我们在 [11 月] 日早上醒来时所看到的那样，黑客攻击正在发生，这家公司不仅有助于阻止这种情况，而且还重建了一个高度安全的环境，因为加密资产的性质和它们的脆弱性”。[2023/2/7 11:50:42]

据Beosin安全技术人员分析，该攻击是由于KashiMediumRiskChainLink价格更新晚于抵押/借贷后。在两笔攻击交易中，攻击者分别flashloan了574,275+785,560个xSUSHI,在抵押和借贷之后，LINKOracle中的kmxSUSHI/USDT的价格从下降了16.9%。通过利用这一价格差距，攻击者可以调用liquidate()函数清算从而获得15,429+11,333个USDT，BeosinTrace追踪发现目前被盗资金还在攻击者的地址上：0xe7F7A0154Bf17B51C89d125F4BcA543E8821d92F。

安全公司：YFV项目勒索事件根本原因在于没有做好上线前的代码审计工作:今日早间，基于以太坊的一DeFi项目YFV发文称遭到勒索。攻击者利用staking的合约漏洞，可以任意重置用户锁定的YFV。并表示，此次事件可能和不久前的“pool0”事件相关，勒索者极有可能是在“pool0”事件中未取回资金的“愤怒的农民”。

成都链安分析称，合约存在一个stakeOnBehalf函数使得攻击者可以为任意用户进行抵押，此函数中的 lastStakeTimes“stakeFor”= block.timestamp; 语句会更新用户地址映射的laseStakeTimes“user”。而用户取出抵押所用的函数中又存在验证，要求用户取出时间必须大于lastStakeTimes“account”+72小时。

综上所述，恶意用户可以向正常用户抵押小额的资金，从而锁定正常用户的资金。根据链上信息，我们找到了两笔疑似攻击的交易，两笔交易都来自同一地址，且均为极小值。由此我们可以基本判定这是一个测试锁死问题的交易。[2020/8/25]

区块链安全公司创始人评EOS：区块链不能“技术先行，安全再来”:区块链安全公司Peckshield创始人蒋旭宪表示很看好EOS的技术，但当前EOS对安全问题的准备不够，以前在互联网上“技术先行，安全再来”的模式在区块链上走不通，因为出现安全问题要付出代价太高了。[2018/6/8]

标签：STAEOSSTAKIMEStakeNetZEOSPoolStakeAmberTime Coin

火必热门资讯