【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的”ClaimQuota=ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

【Beosin：Stars Arena遭受黑客攻击原因疑似为重入攻击】

【Beosin：StarsArena遭受黑客攻击原因疑似为重入攻击】2023年10月07日05点23分老不正经报道，据BeosinEagleEye监测显示，StarsArena遭受到黑客攻击，损失约300万美元。Beosin安全团队分析发现，由于合约没开源，疑似存在重入漏洞。攻击者在调用0xe9ccf3a3函数过程中，重入调用0x5632b2e4函数，设置了高度，而在sellShares函数中，使用了这些高度作为发送AVAX数量的计算参数，使得计算的数据异常大。最终攻击者获得大量收益。BeosinTrace正在对被盗资金进行追踪。

【Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析】

【Beosin：Avalanche链上Platypus项目损失850万美元攻击事件解析】2023年02月17日11点33分2月17日，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，Avalanche链上的Platypus项目合约遭受闪电贷攻击，Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用PlatypusFinance合约的deposit函数质押，该函数会为攻击者铸造等量的LP-USDC，随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中，然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额，_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限，利用该返回值通过borrow函数铸造了大量USP（获利点），由于攻击者自身存在利用LP-USDC借贷的大量债务（USP），那么在正常逻辑下是不应该能提取出质押品的，但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的borrowLimitUSP（借贷上限）而没有检查用户是否归还债务的情况下，使攻击者成功提取出了质押品（4400万LP-USDC）。归还4400万USDC闪电贷后，攻击者还剩余41,794,533USP，随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。。

【Beosin:DeFi 借贷协议 Sentiment被攻击事件分析】

【Beosin:DeFi借贷协议Sentiment被攻击事件分析】2023年04月05日12点48分老不正经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年4月5日，DeFi借贷协议sentiment协议遭到攻击，损失约1百万美元，BeosinTrace追踪发现已有0.5WBTC、30个WETH、538,399USDC和360,000USDT被盗，目前，大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。攻击交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74dBeosin安全团队现将分析结果分享如下：1.攻击者首先调用BalancerVault的“joinPool”函数进行质押。2.然后再调用“exitPool”取回质押，在这个过程中，BalancerVault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中，攻击者调用0x62c5合约的borrow函数，该过程需要根据BalancerVault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的"exitPool"过程中，pool中总供应量已经减少而数据还没有更新，攻击者利用这个数据错误从而多借出资产达成获利。攻击者收到消息，如果在4月6日8点（UTC）前归还资产，会获得95000美元奖励，并不会被追究。

【Beosin：Thoreum Finance项目被黑客攻击，被盗资金约58万美元】

【Beosin：ThoreumFinance项目被黑客攻击，被盗资金约58万美元】据BeosinEagleEye安全预警与监控平台检测显示，ThoreumFinance项目被黑客攻击，涉及金额约为58万美元。由于ThoreumFinance项目方创建的未开源合约0x79fe的transfer函数疑似存在漏洞，当transfer函数的from和to地址相同时，由于使用临时变量存储余额，导致给自己转账时，余额会成倍增加，攻击者重复操作多次，最终获利2000BNB。Beosin安全团队通过BeosinTrace进行追踪，发现被盗资金已全部转入tornadocash。

【Beosin：XaveFinance项目遭受黑客攻击事件分析】

【Beosin：XaveFinance项目遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。攻击交易为0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。Beosin安全团队分析发现攻击者首先创建攻击合约0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3，该攻击合约首先调用DaoModule合约0x8f90的executeProposalWithIndex()函数执行提案，提案内容为调用mint()函数铸造100,000,000,000,000个RNBW，并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW，存放在攻击者地址上（0x0f44f3489D17e42ab13A6beb76E57813081fc1E2）。目前被盗资金还存放在攻击者地址，BeosinTrace将对被盗资金进行持续追踪。