根据区块链安全公司Beosin旗下EagleEye监测显示,BNBChain上的sDAO项目遭受漏洞攻击。Beosin分析发现sDAO合约的业务逻辑存在错误,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获利约13662枚BUSD。
AnubisDAO Liquidity Rug 3地址已将3000枚ETH转入Tornado Cash:金色财经消息,据CertiK监测,AnubisDAO Liquidity Rug 3地址已将3000枚ETH(约560万美元)经由EOA地址(0x0D1953)转入Tornado Cash。[2023/4/8 13:51:46]
派盾:OlympusDAO因代码漏洞导致约29.2万美元损失:10月21日消息,据派盾监测,OlympusDAO的BondFixedExpiryTeller合约中的redeem()函数因无法正确验证输入导致了约29.2万美元的损失。[2022/10/21 16:34:35]
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。