安全公司:Harvest_Keeper項目存在惡意轉移用戶資金，涉及金額約93.3萬美元

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年3月19日，發現Harvest_Keeper項目存在惡意轉移用戶資金，涉及金額約93.3萬美元。Beosin安全團隊通過鏈上數據發現攻擊者利用owner權限通過調用getAmount函數轉移了用戶抵押在HarvestKeeper合約中的USDT,隨后攻擊者利用用戶對EOA賬戶的代幣授權，從而多次通過該EOA轉移用戶資金，建議用戶取消對該EOA的授權。目前被盜資金存放分散在多個地址上，其中大部分存放在0x92288f964ae8fce23e8d337422ad66eefc333670中。BeosinTrace將持續對被盜資金進行監控。

安全公司：上周發生的15起安全事件造成約550萬美元的損失:金色財經報道，據CertiK官方推特發布消息稱，自上周五以來，記錄了15起安全事件，造成約550萬美元的損失。到目前為止，共發生17起Discord黑客攻擊事件、16起網絡釣魚攻擊事件和2起Twitter黑客攻擊事件。[2023/7/16 10:57:46]

安全公司：illogicsNFT Discord兩名團隊成員的Discord賬戶被盜:4月21日消息，BlockSec告警系統于4月21日下午4點20分發現@illogics discord 被黑客入侵,原因是兩名團隊成員的 Discord 帳戶被盜,攻擊者冒充管理員發布虛假mint鏈接，BlockSec建議檢測授權情況并及時刪除授權。[2022/4/21 14:39:10]

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

Tags：STASTAKSCORSCOStabinolSTAKEscor幣多少錢一個SCOR幣

火幣APP下載