[安全团队:DFX Finance攻击者获利逾23万美元]11月11日消息,据慢雾安全团队情报,ETH链上的DFX Finance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:
1. 攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。
2. 紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。
3. 存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。
4. 由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。
5. 最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。
此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
安全团队:DeFi协议land疑似遭到攻击,损失约15万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,UTC时间2023年5月14日,DeFi协议land疑似遭到攻击,损失约15万美元,Beosin Trace追踪发现已有149,616个BUSD被盗,目前,大部分被盗资金还在攻击者地址。其攻击的原因在于mint权限控制缺失。Beosin安全团队现将分析结果分享如下:1.项目方存在几个miner地址可以mint NFT,其中包含0x2e59开头地址合约。2.攻击者调用0x2e59开头地址合约mint 200个NFT。3.攻击者调用0xeab0开头地址函数,用上一步铸造的NFT换取大量XQJ代币(每个NFT兑换200XQJ),直到该合约无法换出XQJ。4.攻击者用28,601XQJ兑换了149,616BUSD。5.攻击者再次mint NFT直到NFT发行上限,攻击结束后攻击者仍持有733个NFT。[2023/5/15 15:03:53]
安全团队:SKG代币为Rug Pull,价格下跌超过80%:7月26日消息,据CertiK监测,SKG代币项目为Rug Pull,价格下跌超过80%。超过10万枚SKG被出售,资产利润超过7万美元。[2022/7/26 2:37:56]
安全团队:DerpyPunkz项目的Discord服务器遭攻击:7月20日消息,据CertiK监测,DerpyPunkz的Discord服务器遭到攻击,攻击者发布了钓鱼链接,与此前Maximalist项目攻击者相同。请社区用户不要点击链接、铸造或批准任何交易。[2022/7/20 2:24:35]
郑重声明: 安全团队:DFX Finance攻击者获利逾23万美元版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。