【Beosin:DeFi 借贷协议 Sentiment被攻击事件分析】

【Beosin:DeFi借贷协议Sentiment被攻击事件分析】2023年04月05日12点48分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年4月5日，DeFi借贷协议sentiment协议遭到攻击，损失约1百万美元，BeosinTrace追踪发现已有0.5WBTC、30个WETH、538,399USDC和360,000USDT被盗，目前，大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。攻击交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74dBeosin安全团队现将分析结果分享如下：1.攻击者首先调用BalancerVault的“joinPool”函数进行质押。2.然后再调用“exitPool”取回质押，在这个过程中，BalancerVault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中，攻击者调用0x62c5合约的borrow函数，该过程需要根据BalancerVault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的"exitPool"过程中，pool中总供应量已经减少而数据还没有更新，攻击者利用这个数据错误从而多借出资产达成获利。攻击者收到消息，如果在4月6日8点（UTC）前归还资产，会获得95000美元奖励，并不会被追究。

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的”ClaimQuota=ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

【Beosin：BSC上项目Swap-LP遭受攻击，损失609个ETH，约100万美元】

【Beosin：BSC上项目Swap-LP项目遭受攻击，损失609个ETH，约100万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年5月20日，BSC上项目Swap-LP项目遭受攻击，攻击者地址0xdEAd40082286F7e57a56D6e5EFE242b9AC83B137，累计获利609个ETH，约100万美元。资金仍在攻击者地址。

【Beosin：Poolz Finance 遭到攻击，损失约 50 万美元】

【Beosin：PoolzFinance遭到攻击，损失约50万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控显示，ETH、BNBChain和Polygon链上PoolzFinance的LockedDeal合约遭到了攻击，损失约50万美元。攻击者调用了LockedDeal合约中存在漏洞的函数CreateMassPools，并且在参数_StartAmount中触发了整数溢出的漏洞。攻击者除了获得了大量的poolztoken意外还获得了其他代币，请相关项目提高警戒。此前，BeosinEagleEye监控到PoolzFinance相关代币POOLZ暴跌90%

【Beosin：Themis Protocol被攻击事件分析】

【Beosin：ThemisProtocol被攻击事件分析】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年6月28日DeFi借贷协议ThemisProtocol遭到攻击，攻击者获利约37万美元，BeosinTrace追踪发现已有130,471个USDC、58,824个USDT和94个ETH被盗，目前，被盗资金被转移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻击的原因在于预言机实现存在问题，导致预言机被操纵。攻击交易为：0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻击的核心是攻击者在借款前，用大量WETH兑换wstETH，使得预言机获取价格时被操纵，导致攻击者仅用55WETH借出317WETH。如图，在getAssetPrice函数调用Balancer:Vault.getPoolTokens函数时，wstETH与ETH数量从正常的2,423:2,796被操纵为0.238:42,520.从而操纵了预言机。快讯/广告联系@xingkong888885

【Beosin：CS (CS)token遭受到攻击，损失金额截至目前约71.4万美元】

【Beosin：CS(CS)token遭受到攻击，损失金额截至目前约71.4万美元】2023年05月24日10点36分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年5月24日，bsc上链的CS(CS)代币项目遭受攻击。原因是代币的_transfer函数中sellAmount没有及时更新。Beosin安全团队将简析分享如下：1、攻击者利用闪电贷借入BSC-USD兑换成CS代币。2、攻击者开始卖出3000CS代币，这一步会设置sellAmount。3、攻击者通过给自己转账，会触发sync()，在这个函数中使用了上一步的sellAmount并且这个函数会销毁pair的中CS代币数量。Sync后sellAmount会置为0。重复2，3步持续减少pair中的CS代币数量，拉升CS代币的价格，使得后续一步可以兑换出更多的BSC-USD。借入80,000,000BSC-USD，兑换出80,954,000BSC-USD，偿还80,240,000BSC-USD，获利约714,000BSC-USD。