【安全公司:BiSwap LP迁移池攻击事件已造成约71万美元的损失】

【安全公司:BiSwapLP迁移池攻击事件已造成约71万美元的损失】2023年07月01日10点51分7月1日消息,根据安全公司Fairyproof发布的BiSwapLP迁移池攻击事件简析,BISwap的迁移合约少了两个验证:1.未验证迁移者就是交易发起者,导致任意⼈都可以替别⼈进⾏迁移。2.未验证参数中的两种代币和Pair为真实的,导致攻击者可以伪造token0、token1及Pair的⽅式进⾏攻击。攻击者⾸先通过真实的pair和假的token0,token1,调⽤迁移合约的迁移函数,将⽤户的LP燃烧后的资产留在合约中,⽤户添加的只是两种假代币组成LP池。然后攻击者再通过真实的token0,token1及假的LP,调⽤迁移合约的迁移函数,将第⼀步留在合约中的资产添加为自己的LP。这样通过狸猫换太⼦的方式将⽤户的资产替换成假的LP资产,⽽真实的LP资产添加到了攻击的的LP中。Fairyproof还表示,此次攻击造成约710251美元的损失。此前今日早些时候消息,BiSwap表示,已检测并解决Migrator合约漏洞,请勿与访问该合约,用户资金安全。

相关推荐

封面图片

安全公司:BiSwapLP迁移池攻击事件已造成约71万美元的损失
封面图片

【Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析】

【Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析】2023年02月17日11点33分2月17日,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用PlatypusFinance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后,攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。。
封面图片

【安全机构:AES项目遭受攻击,攻击者获利约61,608美元】

【安全机构:AES项目遭受攻击,攻击者获利约61,608美元】2022年12月07日07点36分老不正经报道,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,AES项目遭受攻击,Beosin安全团队分析发现由于AES-USDTpair合约有一个skim函数,该函数可以强制平衡pair的供应量,将多余资金发送给指定地址,而攻击者在本次攻击过程中,首先向pair里面直接转入了部分AES代币,导致供应量不平衡,从而攻击者调用skim函数时,会将多余的这部分代币转到攻击者指定地址,而攻击者在此处指定了pair合约为接收地址,使得多余的AES又发送到了pair合约,导致强制平衡之后pair合约依然处于不平衡状态,攻击者便可重复调用强制平衡函数。另外一点,当调用AES代币合约的transfer函数时,若发送者为合约设置的pair合约时,会将一部分AES销毁掉(相当于通缩代币),攻击者经过反复的强制平衡操作,将pair里面的AES销毁得非常少,导致攻击者利用少量AES兑换了大量的USDT。目前获利资金已转移到攻击者地址(0x85214763f8eC06213Ef971ae29a21B613C4e8E05),约获利约61,608美元。BeosinTrace将持续对被盗资金进行监控。
封面图片

【Beosin:BSC上项目Swap-LP遭受攻击,损失609个ETH,约100万美元】

【Beosin:BSC上项目Swap-LP项目遭受攻击,损失609个ETH,约100万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,2023年5月20日,BSC上项目Swap-LP项目遭受攻击,攻击者地址0xdEAd40082286F7e57a56D6e5EFE242b9AC83B137,累计获利609个ETH,约100万美元。资金仍在攻击者地址。
封面图片

Sonne Finance 遭遇攻击损失约 2000 万美元事件分析

SonneFinance遭遇攻击损失约2000万美元事件分析据BeosinAlert监控预警发现,OP链上的SonneFinance协议遭到黑客闪电贷攻击,攻击者分多次攻击,共造成约2000万美元的损失。分析发现攻击者通过闪电贷借入VELOToken,并通过transfer发送给soVELO合约,多次创建新合约,在新合约中借贷SonneFinance协议的各种代币,并赎回VELOToken代币,这样反复操作,将所有资金全部盗空。目前攻击者将资金主要保存在以下地址:0x02FA262开头地址,0x5D0D99开头地址和0xae4A7cD开头地址。
封面图片

【Sonne Finance遭遇攻击损失约2000万美元事件分析】

【SonneFinance遭遇攻击损失约2000万美元事件分析】2024年05月15日10点39分老不正经报道,据BeosinAlert监控预警发现,OP链上的SonneFinance协议遭到黑客闪电贷攻击,攻击者分多次攻击,共造成约2000万美元的损失。分析发现攻击者通过闪电贷借入VELOToken,并通过transfer发送给soVELO合约,多次创建新合约,在新合约中借贷SonneFinance协议的各种代币,并赎回VELOToken代币,这样反复操作,将所有资金全部盗空。目前攻击者将资金主要保存在以下地址:0x02FA2625825917E9b1F8346a465dE1bBC150C5B9,0x5D0D99e9886581ff8fCB01F35804317f5eD80BBb,0xae4A7cDe7C99fb98B0D5fA414aa40F0300531F43。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人