安全團隊：treasure swap項目方遭受攻擊，攻擊者累計獲利3,945個BNB_Curve

6月11日消息，據成都鏈安安全社區消息，treasureswap項目方遭受攻擊，根據成都鏈安技術團隊分析，攻擊者僅使用0.000000000000000001WETH就可將交易池中的WETH代幣兌光，經對源碼的逆向發現：被攻擊合約的swap函數中缺少K值的校驗。目前攻擊者已完成對0xe26e436084348edc0d5c7244903dd2cd2c560f88和0x96f6eb307dcb0225474adf7ed3af58d079a65ec9兩個合約的攻擊，累計獲利3,945個BNB，被盜資金仍在收益地址0x0FaCB17eFCb6cA6Ff66f272DE6B306DE9fb5931D上，成都鏈安鏈必追系統將持續監控被盜資金動向。

安全團隊：Polygon上的Midas Capital項目被攻擊，損失約66萬美元:1月16日消息，據Beosin-Eagle Eye態勢感知平臺消息，Polygon上jarvis項目中的Midas Capital礦池項目被黑客使用的view重入和價格操控組合漏洞攻擊，黑客獲利663101 MATIC（約66萬美元）。攻擊之后，Beosin Trace追蹤發現黑客將663101MATIC發送給地址0xe53......59be，然后分散至其他10個其他的地址，這些地址總共又將15935的MATIC發送至0x04Ec......46F2地址中，目前14581枚MATIC轉入Kucoin交易所，1671MATIC枚轉入幣安交易所。

其他代幣仍然留在上述地址上。[2023/1/16 11:14:35]

安全團隊：檢測到一個偽造的1inch正在索賠代幣:金色財經報道，CertiK發推表示，檢測到一個偽造的1inch正在索賠代幣，目前代幣已分發到多個地址。CertiK 提醒用戶unibonus[.]org 是一個釣魚網站，請勿與此URL交互。[2022/11/28 21:07:41]

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

Tags：CurveCURTICATICYCURVE幣curve幣最新消息COFFE MultichainMATIC幣

BTC