ForesightNews消息,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,2023年3月13日,DeFi借贷协议EulerFinance遭到攻击,损失约1.97亿美元,BeosinTrace追踪发现已有34,224,863.42枚USDC、849.14枚WBTC、85818.26枚stETH和8,877,507.35枚DAI被盗,目前,大部分被盗资金还在攻击者地址,攻击者只转移了100枚ETH至TornadoCash。Beosin安全团队以其中一笔交易为例分析如下:0xc310a0affe2169d1f6feec1c63dbc7f7c62a887fa48795d327d4d2da2d6b111d1.攻击者首先使用Aave闪电贷出了3000万枚DAI,接着将其中的2000万枚DAI进行抵押,获得了19,568,124枚eDAI的抵押。2.攻击者接着调用mint函数利用这19,568,124枚eDAI借贷195,681,243枚eDAI和200,000,000枚dDAI,从而将自己的eDAI余额放大到了十倍。3.攻击者接着将剩余的1000万枚DAI使用repay函数进行了质押,再次借贷了195,681,243枚eDAI和200,000,000枚dDAI。4.攻击者后续将进行了donateToReserves操作,将一亿的eDAI进行了销毁,使得eDAI小于了dDAI达到了清算条件。5.最后在清算时,由于先前攻击者通过donateToReserves函数和mint函数,使抵押资产和债务资产比值小于1,导致清算人无需向协议转入资金就可以清算攻击者债务。后续攻击者将Euler合约所有的3800万枚DAI提取出来,并且将3000万枚DAI归还给了Aave,获利约800万枚DAI。
Beosin:Ara项目被攻击的根本原因是合约中处理权限存在漏洞:6月19日消息,Beosin Alert发推称,Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约,它没有限制从调用者转移的用于交换的资金。[2023/6/19 21:46:59]
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
动态 | Beosin预警:持续警惕hardfail状态攻击 ?:Beosin(成都链安)预警,根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,目前仍有不少攻击者尝试使用hard_fail 状态攻击,攻击测试目标已由交易所转向各类游戏合约,截止9号晚间10点,攻击者****wge在持续攻击中尝试混合使用正常转账交易和hardfail失败交易,在两次交易中设置同样的memo,如果项目方从节点获取交易数据时没有做好完整的交易判断,可能会因此造成损失,这种攻击尝试虽然简单但仍可能造成危害,Beosin(成都链安)提醒各项目方做好自检自查,对交易执行状态进行校验,避免不必要的损失。[2019/4/9]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。