【Earning.Farm遭受闪电贷攻击，黑客获利268 ETH】

【Earning.Farm遭受闪电贷攻击，黑客获利268ETH】10月15日消息，据Supremacy安全团队监测，Earning.Farm的EFLeverVault合约遭到两次闪电贷攻击，第一笔攻击被MEVbot截获，造成合约损失480ETH；第二笔黑客完成攻击，黑客获利268ETH。经过分析，漏洞是由合约的闪电贷回调函数未验证闪电贷发起者产生，攻击者可自行触发合约的闪电贷回调逻辑：偿还合约内的AavestETH债务并提现，然后将stETH兑换为ETH。随后攻击者可调用withdraw函数提现所有合约内的ETH余额。

【Inverse Finance再次遭受闪电贷漏洞攻击】

【InverseFinance再次遭受闪电贷漏洞攻击】InverseFinance再次遭受闪电贷漏洞攻击，攻击者利用Tether(USDT)和WrappedBitcoin(WBTC)窃取了126万美元。最新的利用通过使用闪电贷款来操纵协议货币市场应用程序使用的流动性提供者(LP)代币的价格预言。这使得攻击者可以借用比他们发布的抵押品数量更多的协议稳定币DOLA，让他们将差额收入囊中。金色财经此前报道，InverseFinance遭遇攻击损失4,300枚ETH，约合1496万美元。

【安全机构：AES项目遭受攻击，攻击者获利约61,608美元】

【安全机构：AES项目遭受攻击，攻击者获利约61,608美元】2022年12月07日07点36分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，AES项目遭受攻击，Beosin安全团队分析发现由于AES-USDTpair合约有一个skim函数，该函数可以强制平衡pair的供应量，将多余资金发送给指定地址，而攻击者在本次攻击过程中，首先向pair里面直接转入了部分AES代币，导致供应量不平衡，从而攻击者调用skim函数时，会将多余的这部分代币转到攻击者指定地址，而攻击者在此处指定了pair合约为接收地址，使得多余的AES又发送到了pair合约，导致强制平衡之后pair合约依然处于不平衡状态，攻击者便可重复调用强制平衡函数。另外一点，当调用AES代币合约的transfer函数时，若发送者为合约设置的pair合约时，会将一部分AES销毁掉（相当于通缩代币），攻击者经过反复的强制平衡操作，将pair里面的AES销毁得非常少，导致攻击者利用少量AES兑换了大量的USDT。目前获利资金已转移到攻击者地址(0x85214763f8eC06213Ef971ae29a21B613C4e8E05)，约获利约61,608美元。BeosinTrace将持续对被盗资金进行监控。

【安全团队：DFX Finance存在严重漏洞遭攻击，攻击者获利逾23万美元】

【安全团队：DFXFinance存在严重漏洞遭攻击，攻击者获利逾23万美元】2022年11月11日03点15分11月11日消息，据慢雾安全团队情报，ETH链上的DFXFinance项目遭到攻击，攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下：1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。2.紧接着继续Curve合约的flash函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数，在该函数中会将第二步中借来的资金转移回Curve合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证。4.由于利用重入了存款函数来将资金转移回Curve合约中，使得成功通过了闪电贷还款的余额检查。5.最后调用withdraw函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

【安全公司：MultiChainCapital遭受闪电贷攻击，黑客获利约10ETH】

【安全公司：MultiChainCapital遭受闪电贷攻击，黑客获利约10ETH】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，MultiChainCapital项目遭受闪电贷攻击(攻击交易：0xf72f1d10fc6923f87279ce6c0aef46e372c6652a696f280b0465a301a92f2e26)，黑客利用通缩代币未将pair排除例外地址，使用deliver函数造成代币增发，最后通过swap函数将增发的代币兑换获利10ETH，目前资金存在黑客地址未转出。BeosinTrace将持续对资金流向进行监控。

【成都链安：bDollar项目遭受价格操控攻击，目前攻击者获利2381BNB存放于攻击合约中】

【成都链安：bDollar项目遭受价格操控攻击，目前攻击者获利2381BNB存放于攻击合约中】据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，bDollar项目遭受价格操控攻击。攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e攻击交易eth：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a目前攻击者获利2381BNB，存放于攻击合约中。