sDAO合約業務邏輯存在漏洞，攻擊者獲利超1.3萬BUSD_SDAO

根據區塊鏈安全公司Beosin旗下EagleEye監測顯示，BNBChain上的sDAO項目遭受漏洞攻擊。Beosin分析發現sDAO合約的業務邏輯存在錯誤，getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的，計算的獎勵與用戶添加LP代幣數量正相關，與合約擁有總LP代幣數量負相關，但合約提供了一個withdrawTeam的方法，可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址，該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后，調用withdrawTeam函數將LP代幣全部發送給了指定地址，并立刻又向合約轉了一個極小數量的LP代幣，導致攻擊者在隨后調用getReward獲取獎勵的時候，使用的合約擁有總LP代幣數量是一個極小的值，使得獎勵異常放大。最終攻擊者通過該漏洞獲利約13662枚BUSD。

FriesDAO因Profanity漏洞遭到攻擊，損失約230萬美元:金色財經報道，據CertiK監測，FriesDAO于今日遭到攻擊，損失約230萬美元，起因是攻擊者獲得了該協議操作者錢包的控制權——似乎是由于Profanity錢包生成器的漏洞導致的，這一漏洞會令通過該工具生成地址的私鑰被強制使用。

1.在獲得對操作者錢包的訪問權后，攻擊者從DAO的資金錢包中提取了$FRIES，并將其于Uniswap上以wETH的價格出售。

2.攻擊者使用只能由操作員地址調用的函數governanceRecoverUnsupported（）從抵押池中提取資金。

3.攻擊者最終將所有資金轉換為DAI。

截至撰寫本文時，存儲被盜資金的錢包價值約為232.5萬美元。

FriesDAO在官方Discord頻道中確認了這次攻擊，指出錢包地址確實是用Profanity生成的。

目前官方開發人員試圖與攻擊者進行談判，協商用白帽賞金來換取被盜資金的歸還。

這次攻擊本可以被預防，因為Profanity漏洞作為做市商Wintermute被盜超過1.6億美元攻擊事件的罪魁禍首，已經被公開了一個多月了。

CertiK呼吁所有使用過Profanity工具的Web3.0項目立即將受影響錢包中所有資產的控制權轉移到安全生成的地址。[2022/10/28 11:52:27]

派盾：OlympusDAO因代碼漏洞導致約29.2萬美元損失:10月21日消息，據派盾監測，OlympusDAO的BondFixedExpiryTeller合約中的redeem()函數因無法正確驗證輸入導致了約29.2萬美元的損失。[2022/10/21 16:34:35]

bi網公告B-I.TOP已完成eosDAC快照:B-I.TOP已于2018年4月15日09:00:00為平臺所有EOS持有用戶（小于100EOS持有用戶也計算在內）完成快照，待eosDAC官方發放代幣（區塊鏈上面收到eosDAC代幣）后，1:1發放給快照時持有EOS的用戶，eosDAC官方具體發放時間未知（預計四月底五月初），請耐心等待。eosDAC是否開放交易將在代幣分發完成后經過評估決定是否開通。[2018/4/15]

Tags：SDAEOSDAOSDAORATSDAO價格EOS RoyaleSDAO價格

酷幣