ForesightNews消息,據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺分析,今晨被攻擊的DeFi借貸協議Sentiment被盜資產約100萬美元,其中包含0.5枚WBTC、30枚WETH、53.8萬枚USDC和36萬枚USDT。目前,大部分被盜資金還在攻擊者地址。其攻擊的原因在于重入導致的價格錯誤。Beosin安全團隊分析該起事件:1.攻擊者首先調用BalancerVault的「joinPool」函數進行質押。2.然后再調用「exitPool」取回質押,在這個過程中,BalancerVault會向攻擊者發送eth從而調用攻擊合約的fallback函數。在該函數中,攻擊者調用0x62c5合約的borrow函數,該過程需要根據BalancerVault.getPoolTokens()的返回數據進行價格計算。而當前正在攻擊者的「exitPool」過程中,pool中總供應量已經減少而數據還沒有更新,攻擊者利用這個數據錯誤從而多借出資產達成獲利。
Beosin:SnarkJS 0.6.11及之前的版本中存在嚴重漏洞:金色財經報道,Beosin 安全研究人員在 SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞,SnarkJS 是一款用于構建零知識證明的開源 JavaScript 庫,廣泛應用于 zk-SNARK 技術的實現和優化。Beosin在提了這個漏洞以后,第一時間聯系項目方并協助修復,目前該漏洞還處于修復測試中。Beosin提醒所有使用了SnarkJS庫的項目方,在SnarkJS 庫這個漏洞還沒完全修復時,一定要注意安全風險。[2023/5/18 15:11:20]
Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]
Beosin解析Reaper Farm遭攻擊事件:_withdraw中owner地址可控且未作任何訪問控制:8月2日消息,據 Beosin EagleEye 安全輿情監控數據顯示,Reaper Farm 項目遭到黑客攻擊,Beosin 安全團隊發現由于_withdraw 中 owner 地址可控且未作任何訪問控制,導致調用 withdraw 或 redeem 函數可提取任意用戶資產。攻擊者(0x5636 開頭)利用攻擊合約(0x8162 開頭)通過漏洞合約(0xcda5 開頭)提取用戶資金,累計獲利 62 ETH 和 160 萬 DAI,約價值 170 萬美元,目前攻擊者(0x2c17 開頭)已通過跨鏈將所有獲利資金轉入 Tornado.Cash。[2022/8/2 2:54:18]
Tags:EOSSINNARARKEOSDACsinoc幣最新消息Canary Dollarbunnypark幣最新消息
美國財政部周四表示,蓬勃發展的去中心化加密貨幣市場威脅到美國的國家安全,需要對洗錢風險加強監督和執法.
1900/1/1 0:00:00ArbitrumFoundation宣布將于3月23日向其社區成員空投ARB治理代幣,并啟動其第3層開發工具ArbitrumOrbit,這使Arbitrum離完全去中心化又近了一步.
1900/1/1 0:00:00親愛的CoinW用戶: CoinW將于2023/4/2019:00在創新區首發上線COK,開通COK/USDT交易對.
1900/1/1 0:00:00頭條 CoinList發布“5.02.2023”預告,加密社區推測或將于5月2日進行Sui公募Odaily星球日報訊據官方推特,CoinList發布帶有“5.02.2023”預告動畫.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線MYRIA,並開啟MYRIA/USDT交易對。具體上線時間如下:充值:已開啟;交易:2023年4月7日17:00(UTC8); MYRIA 項目簡介:<.
1900/1/1 0:00:001.關于非首發項目Myria(MYRIA)空投結果Gate.ioStartup首發項目Myria代幣MYRIA于Apr05th,AM04:00開始下單,24小時內下單同等對待,總共有18.
1900/1/1 0:00:00