Beosin：針對Wintermute損失1.6億美元黑客事件，建議項目方移除相關地址管理權限_SIN

據BeosinEagleEye監測顯示，Wintermute在DeFi黑客攻擊中損失1.6億美元，Beosin安全團隊發現，攻擊者頻繁的利用0x0000000fe6a...地址調用0x00000000ae34...合約的0x178979ae函數向0x0248地址轉賬，通過反編譯合約，發現調用0x178979ae函數需要權限校驗，通過函數查詢，確認0x0000000fe6a地址擁有setCommonAdmin權限，并且該地址在攻擊之前和該合約有正常的交互，那么可以確認0x0000000fe6a的私鑰被泄露。結合地址特征，疑似項目方使用Profanity工具生成地址。該工具在之前發的文章中，已有安全研究者確認其隨機性存在安全缺陷，導致私鑰可能泄漏。Beosin安全團隊建議：1.項目方移除0x0000000fe6a地址以及其他靚號地址的setCommonAdmin/owner等管理權限，并使用安全的錢包地址替換。2.其他使用Profanity工具生成錢包地址的項目方或者用戶，請盡快轉移資產。

Beosin：SnarkJS 0.6.11及之前的版本中存在嚴重漏洞:金色財經報道，Beosin 安全研究人員在 SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞，SnarkJS 是一款用于構建零知識證明的開源 JavaScript 庫，廣泛應用于 zk-SNARK 技術的實現和優化。Beosin在提了這個漏洞以后，第一時間聯系項目方并協助修復，目前該漏洞還處于修復測試中。Beosin提醒所有使用了SnarkJS庫的項目方，在SnarkJS 庫這個漏洞還沒完全修復時，一定要注意安全風險。[2023/5/18 15:11:20]

Beosin：TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元:據Beosin EagleEye Web3安全預警與監控平臺監測顯示，TempleDAO項目遭受黑客攻擊。因為在StaxLPStaking合約的migrateStake函數缺少權限校驗，導致任意人都可以通過該函數提取合約中的StaxLP。

Beosin安全團隊分析發現攻擊者已把全部獲得的StaxLP代幣全部兌換為ETH，目前被盜資金已全部轉移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/12 10:31:30]

Beosin解析Reaper Farm遭攻擊事件：_withdraw中owner地址可控且未作任何訪問控制:8月2日消息，據 Beosin EagleEye 安全輿情監控數據顯示，Reaper Farm 項目遭到黑客攻擊，Beosin 安全團隊發現由于_withdraw 中 owner 地址可控且未作任何訪問控制，導致調用 withdraw 或 redeem 函數可提取任意用戶資產。攻擊者（0x5636 開頭）利用攻擊合約（0x8162 開頭）通過漏洞合約（0xcda5 開頭）提取用戶資金，累計獲利 62 ETH 和 160 萬 DAI，約價值 170 萬美元，目前攻擊者（0x2c17 開頭）已通過跨鏈將所有獲利資金轉入 Tornado.Cash。[2022/8/2 2:54:18]

Tags：EOSSINARK0X0eosreelBusiness boss chainstarknet幣價分析0X0價格

歐易交易所app下載