【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的”ClaimQuota=ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

【Beosin：CS (CS)token遭受到攻击，损失金额截至目前约71.4万美元】

【Beosin：CS(CS)token遭受到攻击，损失金额截至目前约71.4万美元】2023年05月24日10点36分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年5月24日，bsc上链的CS(CS)代币项目遭受攻击。原因是代币的_transfer函数中sellAmount没有及时更新。Beosin安全团队将简析分享如下：1、攻击者利用闪电贷借入BSC-USD兑换成CS代币。2、攻击者开始卖出3000CS代币，这一步会设置sellAmount。3、攻击者通过给自己转账，会触发sync()，在这个函数中使用了上一步的sellAmount并且这个函数会销毁pair的中CS代币数量。Sync后sellAmount会置为0。重复2，3步持续减少pair中的CS代币数量，拉升CS代币的价格，使得后续一步可以兑换出更多的BSC-USD。借入80,000,000BSC-USD，兑换出80,954,000BSC-USD，偿还80,240,000BSC-USD，获利约714,000BSC-USD。

【安全机构：AES项目遭受攻击，攻击者获利约61,608美元】

【安全机构：AES项目遭受攻击，攻击者获利约61,608美元】2022年12月07日07点36分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，AES项目遭受攻击，Beosin安全团队分析发现由于AES-USDTpair合约有一个skim函数，该函数可以强制平衡pair的供应量，将多余资金发送给指定地址，而攻击者在本次攻击过程中，首先向pair里面直接转入了部分AES代币，导致供应量不平衡，从而攻击者调用skim函数时，会将多余的这部分代币转到攻击者指定地址，而攻击者在此处指定了pair合约为接收地址，使得多余的AES又发送到了pair合约，导致强制平衡之后pair合约依然处于不平衡状态，攻击者便可重复调用强制平衡函数。另外一点，当调用AES代币合约的transfer函数时，若发送者为合约设置的pair合约时，会将一部分AES销毁掉（相当于通缩代币），攻击者经过反复的强制平衡操作，将pair里面的AES销毁得非常少，导致攻击者利用少量AES兑换了大量的USDT。目前获利资金已转移到攻击者地址(0x85214763f8eC06213Ef971ae29a21B613C4e8E05)，约获利约61,608美元。BeosinTrace将持续对被盗资金进行监控。

【Beosin：SNK项目遭受攻击，黑客获利约19万美元】

【Beosin：SNK项目遭受攻击，黑客获利约19万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，SNK项目遭受攻击(0x7394f2520ff4e913321dd78f67dd84483e396eb7a25cbb02e06fe875fc47013a)，黑客利用SNK的邀请奖励机制获利19万美元，目前资金仍在黑客地址中0x7738B2f18d994C7c8Fa10E1FE456069624740f3e，BeosinTrace将持续对资金流向进行监控。

【Beosin：Stars Arena遭受黑客攻击原因疑似为重入攻击】

【Beosin：StarsArena遭受黑客攻击原因疑似为重入攻击】2023年10月07日05点23分老不正经报道，据BeosinEagleEye监测显示，StarsArena遭受到黑客攻击，损失约300万美元。Beosin安全团队分析发现，由于合约没开源，疑似存在重入漏洞。攻击者在调用0xe9ccf3a3函数过程中，重入调用0x5632b2e4函数，设置了高度，而在sellShares函数中，使用了这些高度作为发送AVAX数量的计算参数，使得计算的数据异常大。最终攻击者获得大量收益。BeosinTrace正在对被盗资金进行追踪。

【SushiSwap的BentoBoxv1合约遭受攻击，黑客获利约26万美元】

【SushiSwap的BentoBoxv1合约遭受攻击，黑客获利约26万美元】据区块链安全审计公司Beosin监测显示，SushiSwap的BentoBoxv1合约，据Beosin安全技术人员分析，该攻击是由于KashiMediumRiskChainLink价格更新晚于抵押/借贷后。在两笔攻击交易中，攻击者分别flashloan了574,275+785,560个xSUSHI,在抵押和借贷之后，LINKOracle中的kmxSUSHI/USDT的价格从下降了16.9%。通过利用这一价格差距，攻击者可以调用liquidate()函数清算从而获得15,429+11,333个USDT，BeosinTrace追踪发现目前被盗资金还在攻击者的地址上：0xe7F7A0154Bf17B51C89d125F4BcA543E8821d92F。