[安全团队:Multichain的Anyswap V4 Router合约遭遇抢跑攻击,攻击者获利约13万美元]金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年2月15日,攻击者利用MEV合约(0xd050)在正常的交易执行之前(用户授权了WETH但是还未进行转账)抢先调用了AnyswapV4Router合约的anySwapOutUnderlyingWithPermit函数进行签名授权转账,虽然函数利用了代币的permit签名校验,但是本次被盗的WETH却并没有相关签名校验函数,仅仅触发了一个fallback中的deposit函数。在后续的函数调用中攻击者就能够无需签名校验直接利用safeTransferFrom函数将_underlying地址授权给被攻击合约的WETH转移到攻击合约之中。攻击者获利约87个以太坊,约13万美元,Beosin Trace追踪发现目前被盗资金有约70个以太坊进入了0x690b地址,还有约17个以太坊还留在MEVBOT的合约中。
交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f
安全团队:两个休眠4年多的地址将22982枚ETH转移至新地址:12月19日消息,据派盾预警监测,两个休眠地址将22982枚ETH(约合2720万美元)转移到两个新地址,它们的最后一次移动是在2018年10月份(1535天前)。这些ETH源自Genesis和Poloniex。[2022/12/19 21:53:33]
安全团队:Brahma TopGear (brahTOPG) 项目存在任意外部调用的风险,请迅速取消授权:11月10日消息,据慢雾安全团队监测,2022年11月10日,ETH链上的brahTOPG项目遭到攻击,攻击者获利约 89,879 美元。慢雾安全团队分析称,此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。[2022/11/10 12:43:42]
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
郑重声明: 安全团队:Multichain的Anyswap V4 Router合约遭遇抢跑攻击,攻击者获利约13万美元版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。