Beosin：BSC Token Hub 用于驗證 IAVL 樹的方式存在漏洞，允許攻擊者偽造信息_GVC

ForesightNews消息，據BeosinEagleEye平臺監測顯示，BSCTokenHub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。1）攻擊者先選取一個提交成功的區塊的哈希值2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點3）在IAVL樹上添加一個任意的新葉子節點4）同時，添加一個空白內部節點以滿足實現證明5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希6）最終構造出該特定區塊的提款證明據Beosin安全團隊統計，總計有1.435億美元的被盜資金通過跨鏈進行轉移，通過跨鏈轉移的資金約被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊，5896萬美元的資金留存在FTM鏈中，400萬美元的資金在Arbitrum鏈中，172萬美元的資金在Avalanche鏈中，40萬美元的資金在Polygon和110萬美元在Optimism。BeosinTrace正在對被盜資金進行實時追蹤。

Beosin：Balancer受多次閃電貸攻擊損失87萬美元，建議用戶撤回相關LP:8月27日消息，據Beosin監測，Balancer受多次閃電貸攻擊，總損失金額達87萬美元，建議用戶按照官方提示撤回受漏洞影響池子的LP。[2023/8/27 12:59:47]

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

Beosin：FTX黑客再次清洗部分被盜資產，約830萬美元:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，截止北京時間11月17日11點 , FTX黑客再次清洗部分被盜資產，FTX攻擊事件黑客（鏈上地址被標記為FTX Accounts Drainer）從幣安鏈上通過兌換跨鏈將6868 ETH的資產轉移到以太坊，約830萬美元，Beosin Trace正持續對該黑地址進行監控。[2022/11/17 13:16:04]

Tags：SINEOSGVCSEASINX Tokeneos幣價格今日行情AGVC幣SEALS

Filecoin