Beosin：sDAO 合约业务逻辑存在漏洞，攻击者获利超 1.3 万 BUSD

ForesightNews消息，根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，BNBChain上的sDAO项目遭受漏洞攻击。Beosin分析发现sDAO合约的业务逻辑存在错误，getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的，计算的奖励与用户添加LP代币数量正相关，与合约拥有总LP代币数量负相关，但合约提供了一个withdrawTeam的方法，可以将合约拥有的BNB以及指定代币全部发送给合约指定地址，该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后，调用withdrawTeam函数将LP代币全部发送给了指定地址，并立刻又向合约转了一个极小数量的LP代币，导致攻击者在随后调用getReward获取奖励的时候，使用的合约拥有总LP代币数量是一个极小的值，使得奖励异常放大。最终攻击者通过该漏洞获利约13662枚BUSD。

Beosin：Themis Protocol被攻击事件分析:据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年6月28日DeFi借贷协议Themis Protocol遭到攻击，攻击者获利约37万美元，Beosin Trace追踪发现已有130,471个USDC、58,824个USDT和94个ETH被盗，目前，被盗资金被转移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻击的原因在于预言机实现存在问题，导致预言机被操纵。

攻击交易为：0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻击的核心是攻击者在借款前，用大量WETH兑换wstETH，使得预言机获取价格时被操纵，导致攻击者仅用55WETH借出317WETH。

如图，在getAssetPrice函数调用Balancer: Vault.getPoolTokens函数时，wstETH与ETH数量从正常的2,423 : 2,796被操纵为0.238 : 42,520.从而操纵了预言机。[2023/6/28 22:05:01]

Beosin：UVT项目被黑客攻击事件简析，被盗资金已全部转入Tornado Cash:金色财经报道，据Beosin EagleEye 安全预警与监控平台检测显示，UVT项目被黑客攻击，涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

经Beosin安全团队分析，发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法，该方法会调用被攻击合约的0x7e39d2f8方法，因为合约具有Controller权限，所以通过验证直接转走了被攻击合约的所有UVT代币，Beosin安全团队通过Beosin Trace进行追踪，发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]

Beosin与SUSS NiFT、NUS AIDF等共同成立“区块链生态安全联盟”:金色财经报道，9月24日，Web3安全公司Beosin宣布与SUSS NiFT、NUS AIDF、新加坡区块链协会、Fomo Pay、Coin Hako、Onchain Custodian、Paritybit、Semisand等在新加坡联合成立“区块链生态安全联盟”。未来，联盟成员将在区块链生态进行紧密合作，通过联盟整合区块链安全领域的技术创新，探索和建立区块链安全生态体系，促进区块链安全领域产学研合作和科技成果转化，营造良好的产业发展环境，推动区块链安全产业的发展。[2022/9/25 7:19:44]

标签：EOSSIN区块链ETHNEOSsinoc币最新价格区块链用大白话解释CETH价格

酷币交易所热门资讯