Beosin：Team Finance 漏洞攻击事件简析

ForesightNews消息，据BeosinEagleEye安全预警与监控平台检测显示，以太坊链上DeFi项目TeamFinance遭受漏洞攻击，攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞，将WTH、CAW、USDC、TSUKA代币从V2流动性池非法升级到V3流动性池，并且通过sqrtPriceX96打乱V3流动池的Initialize的价格，从而获取大量refund套利，共计套利了约1300万美元。ForesightNews此前消息，DeFi应用TeamFinance团队表示遭到黑客攻击，损失1450万美元，目前已暂停协议使用。

Beosin：BRA代币被攻击，损失820个WBNB:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，BRA代币被攻击，交易哈希：0x6759db55a4edec4f6bedb5691fc42cf024be3a1a534ddcc7edd471ef205d4047与0x4e5b2efa90c62f2b62925ebd7c10c953dc73c710ef06695eac3f36fe0f6b9348。据Beosin安全技术人员分析，该攻击是由BRA合约的逻辑漏洞所导致，BRA转移过程中如果调用方或接收方为pair，则会产生奖励。此处，攻击者直接转移部分BRA代币给0x8F4BA1交易pair合约，并调用pair的skim函数，该函数会将多余供应量的BRA代币发送给指定地址，此处攻击者设置本pair为接收地址，BRA又重新回到pair，导致经过一次skim，pair的BRA代币就会增加（奖励部分），多次skim后，pair中已经存在大量BRA代币。最后，攻击者通过pair的闪电贷功能，将UBST借贷出来，由于BRA代币异常多，所以pair在闪电贷最后判断余额的时候，就算UBST少了，也能通过检查（类似于乘积恒定的方式）。目前被盗资金全部存在攻击者地址（0xE2Ba15be8C6Fb0d7C1F7bEA9106eb8232248FB8B），Beosin Trace将持续对被盗资金进行监控。[2023/1/10 11:04:38]

Beosin：UVT项目被黑客攻击事件简析，被盗资金已全部转入Tornado Cash:金色财经报道，据Beosin EagleEye 安全预警与监控平台检测显示，UVT项目被黑客攻击，涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

经Beosin安全团队分析，发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法，该方法会调用被攻击合约的0x7e39d2f8方法，因为合约具有Controller权限，所以通过验证直接转走了被攻击合约的所有UVT代币，Beosin安全团队通过Beosin Trace进行追踪，发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]

Beosin：QANplatform跨链桥遭受黑客攻击，涉及金额约189万美元:10月11日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。

Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址（因为0x68e819是创建跨链桥地址，所以该地址应该属于项目方。）调用跨链桥合约中的bridgeWithdraw函数提取QANX代币，然后把QANX代币兑换为相应平台币。存放在攻击者地址上（0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11）。目前被盗资金中还存放在攻击者地址，Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]

标签：SINEOSAIRPAISINGLEIEOs WinCAIRO价格paid币官方

以太坊热门资讯