安全團隊：dForcenet合約遭受攻擊，黑客獲利約370萬美元_INT

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，dForcenet合約，分別在Optimism和Arbitrum兩條L2鏈上遭到了攻擊。兩條鏈上總損失約370萬美元。據Beosin安全技術人員分析，原因為利用curvepool的重入漏洞，影響了Oracle的價格，通過1.借出超過抵押品價值的貸款不歸還；2.在價格被操縱的情況下清算頭寸獲取利潤。在Arbitrum上的攻擊交易獲利719,437枚dForceUSD和1236枚ETH。ETH還留在Arbitrum鏈上的地址上，USX通過跨鏈橋轉移到Optimism鏈上。在Optimism鏈上的攻擊交易獲利1,037,000USX，最后所有的USX被兌換成了1110枚ETH。BeosinTrace追蹤發現目前被盜ETH還留在Optimism鏈上的地址上。

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

安全團隊：多份報告顯示@AzraGames Discord服務器遭到入侵:金色財經消息，據CertiK監測，@AzraGames Discord服務器遭到入侵，該團隊正在努力恢復。[2022/8/17 12:30:15]

安全團隊：Premint NFT被黑客入侵事件總損失約為37.5萬美元:金色財經消息，據CertiK安全團隊，Premint NFT被黑客入侵事件到目前為止，總共發現了6個被利用的錢包。目前黑客從攻擊中獲得的利潤約為37.5萬美元，使其成為今年最大的NFT黑客攻擊之一。

此前昨日下午報道，黑客在premint網站中通過植入惡意的JS文件實施釣魚攻擊。premint官方提醒用戶不要簽署任何設置批準所有的交易。[2022/7/18 2:19:32]

Tags：CURCurveINTETHCCURVE幣SCURVE價格Bali Social Integratedeth錢包地址永久刪除

MANA