Beosin:DeFi 借貸協議 Sentiment被攻擊事件分析

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月5日，DeFi借貸協議sentiment協議遭到攻擊，損失約1百萬美元，BeosinTrace追蹤發現已有0.5WBTC、30個WETH、538,399USDC和360,000USDT被盜，目前，大部分被盜資金還在攻擊者地址。其攻擊的原因在于重入導致的價格錯誤。攻擊交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74dBeosin安全團隊現將分析結果分享如下：1.攻擊者首先調用BalancerVault的“joinPool”函數進行質押。2.然后再調用“exitPool”取回質押，在這個過程中，BalancerVault會向攻擊者發送eth從而調用攻擊合約的fallback函數。在該函數中，攻擊者調用0x62c5合約的borrow函數，該過程需要根據BalancerVault.getPoolTokens()的返回數據進行價格計算。而當前正在攻擊者的"exitPool"過程中，pool中總供應量已經減少而數據還沒有更新，攻擊者利用這個數據錯誤從而多借出資產達成獲利。攻擊者收到消息，如果在4月6日8點前歸還資產，會獲得95000美元獎勵，并不會被追究。

Beosin：Gnosis Omni Bridge跨鏈橋項目存在合約層面的重放漏洞:金色財經報道，Beosin 安全團隊發現，在以太坊合并并分叉出 ETHW 后，Gnosis Omni Bridge跨鏈橋項目，由于合約代碼中固定寫死了chainID，而未真正驗證當前所在鏈的chainID，導致合約在驗證簽名時能夠在分叉鏈上驗證通過。攻擊者首先在 ETH 主網上通過omni Bridge 轉移 WETH，隨后將相同的交易內容在 ETHW 鏈上進行了重放，獲取了等額的 ETHW。目前攻擊者已經轉移了 741 ETHW 到交易所。

Beosin 安全團隊建議如果項目方合約里面預設了chainID，請先手動將chainId更新，即使項目方決定不支持ETHW，但是由于無法徹底隔絕通過跨鏈橋之間的資產流動，建議都在ETHW鏈上更新。[2022/9/19 7:04:46]

Beosin解析Reaper Farm遭攻擊事件：_withdraw中owner地址可控且未作任何訪問控制:8月2日消息，據 Beosin EagleEye 安全輿情監控數據顯示，Reaper Farm 項目遭到黑客攻擊，Beosin 安全團隊發現由于_withdraw 中 owner 地址可控且未作任何訪問控制，導致調用 withdraw 或 redeem 函數可提取任意用戶資產。攻擊者（0x5636 開頭）利用攻擊合約（0x8162 開頭）通過漏洞合約（0xcda5 開頭）提取用戶資金，累計獲利 62 ETH 和 160 萬 DAI，約價值 170 萬美元，目前攻擊者（0x2c17 開頭）已通過跨鏈將所有獲利資金轉入 Tornado.Cash。[2022/8/2 2:54:18]

聲音 | Beosin（成都鏈安）預警：某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，今日上午 8:53:15開始，黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在，該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作，在收到安全公司的安全提醒之后第一時間排查項目安全性，才能及時止損，同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略，必要時可聯系第三方專業審計團隊，在上鏈前進行完善的代碼安全審計，防患于未然。[2019/4/3]

Tags：EOSSINETHETHW柚子幣eos最新真實消息blockchainBusiness官網tether幣怎么提現ethw幣有前景嗎

AAVE