Beosin 简析 Avalanche 链上 Platypus 项目损失 850 万美元攻击事件

ForesightNews消息，据Beosin旗下BeosinEagleEye监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用PlatypusFinance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP，由于攻击者自身存在利用LP-USDC借贷的大量债务，那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品。归还4400万USDC闪电贷后，攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。。

Beosin：2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道，2022 年全年，Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起，因各类攻击造成的总损失超 36 亿美元，较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起，1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

Beosin：KyberSwap黑客转移部分被盗资产，约11.2万美元:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，截止北京时间11月20日20点 , KyberSwap黑客转移部分被盗资产，从0xA3740合约地址将130222 Matic转移到0xe39aa21842017ade7f803451f77cdb391ce1acb6，约11.2万美元，Beosin Trace正持续对该黑地址进行监控。[2022/11/20 22:09:47]

标签：EOSSINUSDGVCeos币柚子已经确定跑路ethnographyinbusiness答案usdt币怎么兑换人民币gvc币多少钱

聚币热门资讯