Beosin:DeFi 借貸協議 Sentiment被攻擊事件分析

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月5日，DeFi借貸協議sentiment協議遭到攻擊，損失約1百萬美元，BeosinTrace追蹤發現已有0.5WBTC、30個WETH、538,399USDC和360,000USDT被盜，目前，大部分被盜資金還在攻擊者地址。其攻擊的原因在于重入導致的價格錯誤。攻擊交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74dBeosin安全團隊現將分析結果分享如下：1.攻擊者首先調用BalancerVault的“joinPool”函數進行質押。2.然后再調用“exitPool”取回質押，在這個過程中，BalancerVault會向攻擊者發送eth從而調用攻擊合約的fallback函數。在該函數中，攻擊者調用0x62c5合約的borrow函數，該過程需要根據BalancerVault.getPoolTokens()的返回數據進行價格計算。而當前正在攻擊者的"exitPool"過程中，pool中總供應量已經減少而數據還沒有更新，攻擊者利用這個數據錯誤從而多借出資產達成獲利。攻擊者收到消息，如果在4月6日8點前歸還資產，會獲得95000美元獎勵，并不會被追究。

Beosin發現Move VM嚴重級別漏洞:金色財經報道，近日，區塊鏈安全公司Beosin發現Move VM嚴重級別漏洞。Beosin安全研究團隊在Move虛擬機中發現了一個沒有限制遞歸調用深度而導致的棧溢出漏洞，這個漏洞可以導致整個網絡崩潰（total network shutdown），還會讓新的validator節點無法加入到網絡中，甚至有可能導致硬分叉（hard fork）。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影響。目前該漏洞已被官方修復。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修復了此漏洞。[2023/6/15 21:37:59]

Beosin：Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示，Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊，Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押，該函數會為攻擊者鑄造等量的LP-USDC，隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中，然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額，_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限，利用該返回值通過borrow函數鑄造了大量USP（獲利點），由于攻擊者自身存在利用LP-USDC借貸的大量債務（USP），那么在正常邏輯下是不應該能提取出質押品的，但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題，僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP（借貸上限）而沒有檢查用戶是否歸還債務的情況下，使攻擊者成功提取出了質押品（4400萬LP-USDC）。歸還4400萬USDC閃電貸后， 攻擊者還剩余41,794,533USP，隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

Beosin：ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道，10月25日，據Beosin EagleEye 安全預警與監控平臺檢測顯示，ULME代幣項目被黑客攻擊，目前造成50646 BUSD損失，黑客首先利用閃電貸借出BUSD，由于用戶前面給ULME合約授權，攻擊者遍歷了對合約進行授權的地址，然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格，然后黑客賣掉之前閃電貸借出的ULME，賺取BUSD，歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

Tags：SINEOSUSDUSDCSingularityNETNEOSAurusDeFiUSDC價格

以太坊最新價格