【BlockSec：项目@jaypeggerz遭攻击，损失约15.32ETH】

【BlockSec：项目@jaypeggerz遭攻击，损失约15.32ETH】2022年12月29日06点51分12月29日消息，据BlockSec监测，项目@jaypeggerz遭攻击损失约15.32ETH（约1.8万美元）。BlockSec称这是一种成功操纵JAY代币价格的合约级重入攻击。JAY合约允许用户为buyJay函数传递任意ERC-721代币。攻击者利用该漏洞重新进入JAY合约。具体来说，攻击者先借入72.5ETH进行闪贷，然后用22ETH购买JAY代币。然后他使用另外50.5ETH调用buyJay函数，传递假的ERC-721代币。在伪造的ERC-721代币的transferFrom函数中，攻击者通过调用sell函数重新进入JAY合约，卖出所有JAY代币。由于以太坊余额在buyJay功能开始时有所增加，因此JAY代币价格受到操纵。攻击者在单笔交易中重复该过程两次，总利润为15.32ETH。攻击利润已转入TornadoCash。

在Telegram中查看

相关推荐

【BlockSec：SellToken遭攻击，攻击者利用StakingRewards合约的Claim()函数问题获利】

【BlockSec：SellToken遭攻击，攻击者利用StakingRewards合约的Claim()函数问题获利】2023年05月14日10点05分5月14日消息，BlockSec发推称，SellToken再次遭遇攻击，根本原因是StakingRewards合约的Claim()函数没有正确验证输入参数，使得攻击者可以通过一个伪造的代币来获得更多的奖励。StakingRewards合约将其视为USDT，攻击者通过控制假代币和QiQi交易对，获得了超额奖励。

【Beosin：Poolz Finance 遭到攻击，损失约 50 万美元】

【Beosin：PoolzFinance遭到攻击，损失约50万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控显示，ETH、BNBChain和Polygon链上PoolzFinance的LockedDeal合约遭到了攻击，损失约50万美元。攻击者调用了LockedDeal合约中存在漏洞的函数CreateMassPools，并且在参数_StartAmount中触发了整数溢出的漏洞。攻击者除了获得了大量的poolztoken意外还获得了其他代币，请相关项目提高警戒。此前，BeosinEagleEye监控到PoolzFinance相关代币POOLZ暴跌90%

【Poolz Finance的Locked Deal合约遭到攻击，损失约50万美元】

【PoolzFinance的LockedDeal合约遭到攻击，损失约50万美元】2023年03月15日01点31分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控显示，ETH、BSC和Polygon链上PoolzFinance的LockedDeal合约遭到了攻击，损失约50万美元。攻击者调用了LockedDeal合约中存在漏洞的函数CreateMassPools，并且在参数_StartAmount中触发了整数溢出的漏洞。攻击者除了获得了大量的poolztoken以外还获得了其他代币，请相关项目提高警戒。此前，BeosinEagleEye监控到PoolzFinance相关代币$POOLZ暴跌90%

【安全公司：BistrooIO遭受重入攻击，损失约47000美元】

【安全公司：BistrooIO遭受重入攻击，损失约47000美元】5月8日消息，据成都链安“链必应-区块链安全态势感知平台“安全舆情监控数据显示，BistrooIO项目遭受重入攻击，损失1,711,569个BIST（约47000美元），经成都链安技术团队分析，本次攻击原因是由于pTokensBIST代币支持ERC-777的代币标准，其合约在实现transfer调用的时候，会调用_callTokenToSend，进而调用tokensToSend()函数，攻击者在该函数中通过重入方式调用了EmergencyWithdraw函数，造成重入攻击。

【BSC链上DeFi项目Thena受到攻击，损失约2万美元】

【BSC链上DeFi项目Thena受到攻击，项目损失约2万美元】2023年03月28日11点48分3月28日消息，据欧科云链OKLink安全团队监测，BSC链上DeFi项目Thena受到攻击，项目损失约20,000美元。据该安全团队分析，此次攻击事件的主因是Strategy合约升级引入了一些配置问题，且unstake函数未做权限验证，导致攻击者可以通过调用unstake函数并传入参数_beneficiary，将用户的质押的资产unstake至_beneficiary地址。以其中一笔交易为例，攻击者调用unstake函数设置_beneficiary为攻击合约，将用户资产取走，完成攻击。

【安全团队：Numbers Protocol（NUM）项目遭攻击】

【安全团队：NumbersProtocol（NUM）项目遭攻击】2022年11月23日05点37分老不正经报道，据慢雾安全团队情报，2022年11月23日，ETH链上的NumbersProtocol（NUM）代币项目遭到攻击，攻击者获利约13,836美元。慢雾安全团队以简讯形式分享如下：1.攻击者创建了一个恶意的anyToken代币，即攻击合约（0xa68cce），该恶意代币合约的底层代币指向NUM代币地址；2.接着调用Multichain跨链桥的Router合约的anySwapOutUnderlyingWithPermit函数，该函数的功能是传入anyToken并调用底层代币的permit函数进行签名批准，之后兑换出拥有授权的用户的底层代币给指定地址。但是由于NUM代币中没有permit函数且拥有回调功能，所以即使攻击者传入假签名也能正常返回使得交易不会失败，导致受害者地址的NUM代币最终可以被转出到指定的攻击合约中；3.接着攻击者将获利的NUM代币通过Uniswap换成USDC再换成ETH获利；此次攻击的主要原因在于NUM代币中没有permit函数且具有回调功能，所以可以传入假签名欺骗跨链桥导致用户资产被非预期转出。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人