【安全机构:AES项目遭受攻击,攻击者获利约61,608美元】

【安全机构:AES项目遭受攻击,攻击者获利约61,608美元】2022年12月07日07点36分老不正经报道,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AES项目遭受攻击,Beosin安全团队分析发现由于AES-USDTpair合约有一个skim函数,该函数可以强制平衡pair的供应量,将多余资金发送给指定地址,而攻击者在本次攻击过程中,首先向pair里面直接转入了部分AES代币,导致供应量不平衡,从而攻击者调用skim函数时,会将多余的这部分代币转到攻击者指定地址,而攻击者在此处指定了pair合约为接收地址,使得多余的AES又发送到了pair合约,导致强制平衡之后pair合约依然处于不平衡状态,攻击者便可重复调用强制平衡函数。另外一点,当调用AES代币合约的transfer函数时,若发送者为合约设置的pair合约时,会将一部分AES销毁掉(相当于通缩代币),攻击者经过反复的强制平衡操作,将pair里面的AES销毁得非常少,导致攻击者利用少量AES兑换了大量的USDT。目前获利资金已转移到攻击者地址(0x85214763f8eC06213Ef971ae29a21B613C4e8E05),约获利约61,608美元。BeosinTrace将持续对被盗资金进行监控。

相关推荐

封面图片

【安全团队:Nova代币暴跌,攻击者获利约10万美元】

【安全团队:Nova代币暴跌,攻击者获利约10万美元】2022年12月09日06点37分老不正经报道,据BeosinEagleEye平台监测显示,Nova代币暴跌,攻击者(0xcbf184b8156e1271449cfb42a7d0556a8dcfef72)首先调用rewardHolders函数铸造了10,000,000,000,000,000,000,000,000,000个NOVA代币,随后利用铸造出的代币在Pair中兑换出了363.7BNB(105,811美元)。目前获利资金已全部进入Tornado.Cash。
封面图片

【安全团队:DFX Finance存在严重漏洞遭攻击,攻击者获利逾23万美元】

【安全团队:DFXFinance存在严重漏洞遭攻击,攻击者获利逾23万美元】2022年11月11日03点15分11月11日消息,据慢雾安全团队情报,ETH链上的DFXFinance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。2.紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。4.由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。5.最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
封面图片

Beosin Trace:TIME 代币遭受到攻击,黑客获利约 18.8 万美元

BeosinTrace:TIME代币遭受到攻击,黑客获利约18.8万美元据Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,TIME代币遭受到攻击,黑客获利约18.8万美元。Beosin安全团队分析发现黑客通过合约漏洞,将TIME-ETH交易对中的TIME代币销毁,从而获利。其原因在于TIME代币的_msgSender()返回并非msg.sender,而是根据调用者进行选择,如果调用者为Forwarder合约,则返回调用者指定地址。同时,Forwarder合约存在任意外部调用功能,攻击者通过Forwarder合约调用TIME合约burn函数,并传入pair地址,最终销毁掉pair中TIME代币。
封面图片

慢雾:OKX DEX Proxy Admin Owner 私钥泄漏,攻击者已获利约 43 万 U

慢雾:OKXDEXProxyAdminOwner私钥泄漏,攻击者已获利约43万U据慢雾区消息,OKXDEX合约疑似出现问题,慢雾分析后发现:用户进行兑换时会授权给TokenApprove合约,DEX合约通过调用TokenApprove合约转移用户代币。DEX合约存在claimTokens函数,允许可信的DEXProxy进行调用,其功能是调用TokenApprove合约的claimTokens函数转移已授权用户的代币。可信的DEXProxy由ProxyAdmin进行管理,ProxyAdminOwner可以通过ProxyAdmin升级DEXProxy合约。ProxyAdminOwner在2023-12-1222:23:47通过ProxyAdmin升级了DEXProxy合约到新的实现合约,新的实现合约功能是直接调用DEX合约的claimTokens函数转移代币。随后攻击者开始调用DEXProxy窃取代币。ProxyAdminOwner在2023-12-1223:53:59再次升级了合约,实现功能与先前类似,升级后继续窃取代币。截止现在获利约43万U。该攻击或为ProxyAdminOwner私钥泄漏,目前DEXProxy已被移出受信列表。
封面图片

【BXH再次遭受闪电贷攻击,攻击者获利31794 USDT】

【BXH再次遭受闪电贷攻击,攻击者获利31794USDT】9月29日消息,据Supremacy安全团队监测,2022年9月28日,BXH在上次攻击后更新的TokenStakingPoolDelegate合约再次遭受闪电贷攻击,合约损失40085USDT,攻击者还完闪电贷手续费后获利31794USDT。经过分析,本次攻击是由合约的getITokenBonusAmount函数中使用getReserves()获取瞬时报价造成,使得攻击者可以通过操纵报价完成获利。
封面图片

【安全公司:BistrooIO遭受重入攻击,损失约47000美元】

【安全公司:BistrooIO遭受重入攻击,损失约47000美元】5月8日消息,据成都链安“链必应-区块链安全态势感知平台“安全舆情监控数据显示,BistrooIO项目遭受重入攻击,损失1,711,569个BIST(约47000美元),经成都链安技术团队分析,本次攻击原因是由于pTokensBIST代币支持ERC-777的代币标准,其合约在实现transfer调用的时候,会调用_callTokenToSend,进而调用tokensToSend()函数,攻击者在该函数中通过重入方式调用了EmergencyWithdraw函数,造成重入攻击。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人