安全團隊：Flurry Finance攻擊事件利用了RhoToken代幣的rebase機制_RUB

Cobo區塊鏈安全團隊就FlurryFinance攻擊事件進行了分析，發現此次攻擊與經典的閃電貸操縱預言機的攻擊手段不同，而是利用了FlurryFinance中RhoToken代幣的rebase機制。漏洞的本質原因在于協議對RhoToken進行rebase時計算multiplier的公式中依賴于外部可控的數據。從而使攻擊者通過閃電貸的方式實現了對multiplier的操縱，進而獲利。雖然本次攻擊中使用到了偽造ERC20重寫approve方法再利用RabbitFinance的StrategyLiquidate合約來執行任意代碼的技巧，但這個技巧涉及到的合約代碼本身其實并不存在安全問題。

安全團隊：已找到LeetSwap受攻擊代碼漏洞:8月1日消息，據PeckShield分析，LeetSwap受攻擊代碼為從Solidly中fork的函數“LeetSwapV2Pair::_transferFeesSupportingTaxTokens()”。[2023/8/1 16:10:31]

Cobo區塊鏈安全團隊提醒，開發者在進行項目開發時需要特別注意合約在計算資產數量、價格時是否有依賴外部某些可能被惡意操縱的數據。閃電貸操縱預言機的典型攻擊模式其實也是項目中依賴于DEX池內代幣價格進行了內部某些關鍵指標的計算導致的。

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

此前消息，2月22日，BSC鏈上的FlurryFinance遭到閃電貸攻擊，導致協議中Vault合約中價值數十萬美元的資產被盜。

安全團隊：NFT項目Ugly Bros Discord遭攻擊并發布釣魚鏈接:6月26日消息，據CertiK監測，Cardano鏈上NFT項目Ugly Bros的Discord遭到攻擊并發布包括網絡釣魚鏈接的公告。請社區用戶不要點擊任何鏈接與之交互。[2022/6/26 1:32:37]

來源鏈接

Tags：UBIRUBBICRubicshubiinuRubex MoneyBICR

屎幣