攻擊者退回逾 247 萬美元，Harvest Finance 將按比例分配給資金受損用戶_FIN

鏈聞消息，HarvestFinance更新推特稱，就像其他套利經濟攻擊，本次攻擊源于一筆巨額閃電貸。攻擊者多次操縱一個貨幣樂高的價格，以耗盡另一個貨幣樂高的資金，隨后再將資金轉換為renBTC并套現。目前，攻擊者以USDT和USDC的形式向Deployer退回2478549.94美元。這將通過快照按比例分配給資金受損的存款人。此前，鏈聞曾報道，HarvestFinance被黑客攻擊，資金池中有大量資金被轉移，通過多個合約交易成功套現約2400萬美元，其中大部分通過renBTC套現提款。隨后HarvestFinance表示，為保護用戶資金安全，已將所有穩定幣和BTC資金從策略池轉入Vault中。

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

派盾：New Free Dao攻擊者將1000枚BNB轉移至Tornado Cash:9月16日消息，據派盾預警監測，New Free Dao項目攻擊者地址已將1000枚BNB（約27萬美元）轉移到TornadoCash。

此前9月8日消息，New Free Dao項目遭閃電貸攻擊，攻擊者獲利4500枚BNB（約合125萬美元）。[2022/9/16 7:00:41]

動態 | 網絡公司發現交易所代碼漏洞，攻擊者或可獲取交易所全部ETH:據coindesk報道，網絡安全公司Level K，Trail of Bits和IC3發現，由于平臺代碼存在漏洞，攻擊者可能能夠獲取許多交易所的全部ETH持有量。? Level K已聯系了一些交易所，建議他們如何修補系統，但目前還不清楚有多少家交易所已經對系統進行了修補。[2018/11/22]

Tags：FINNCEFINANANAroma FinanceRikkei FinanceMEET.ONE FinanceScale Finance

萊特幣