【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的”ClaimQuota=ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

【Beosin：XaveFinance项目遭受黑客攻击事件分析】

【Beosin：XaveFinance项目遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。攻击交易为0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。Beosin安全团队分析发现攻击者首先创建攻击合约0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3，该攻击合约首先调用DaoModule合约0x8f90的executeProposalWithIndex()函数执行提案，提案内容为调用mint()函数铸造100,000,000,000,000个RNBW，并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW，存放在攻击者地址上（0x0f44f3489D17e42ab13A6beb76E57813081fc1E2）。目前被盗资金还存放在攻击者地址，BeosinTrace将对被盗资金进行持续追踪。

【安全公司：BistrooIO遭受重入攻击，损失约47000美元】

【安全公司：BistrooIO遭受重入攻击，损失约47000美元】5月8日消息，据成都链安“链必应-区块链安全态势感知平台“安全舆情监控数据显示，BistrooIO项目遭受重入攻击，损失1,711,569个BIST（约47000美元），经成都链安技术团队分析，本次攻击原因是由于pTokensBIST代币支持ERC-777的代币标准，其合约在实现transfer调用的时候，会调用_callTokenToSend，进而调用tokensToSend()函数，攻击者在该函数中通过重入方式调用了EmergencyWithdraw函数，造成重入攻击。

Beosin Trace：TIME 代币遭受到攻击，黑客获利约 18.8 万美元

BeosinTrace：TIME代币遭受到攻击，黑客获利约18.8万美元据Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，TIME代币遭受到攻击，黑客获利约18.8万美元。Beosin安全团队分析发现黑客通过合约漏洞，将TIME-ETH交易对中的TIME代币销毁，从而获利。其原因在于TIME代币的_msgSender()返回并非msg.sender，而是根据调用者进行选择，如果调用者为Forwarder合约，则返回调用者指定地址。同时，Forwarder合约存在任意外部调用功能，攻击者通过Forwarder合约调用TIME合约burn函数，并传入pair地址，最终销毁掉pair中TIME代币。

【Beosin：SEAMAN合约遭受漏洞攻击简析】

【Beosin：SEAMAN合约遭受漏洞攻击简析】根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781BUSD。BeosinTrace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。

【Beosin：Polygon链上LibertiVault合约遭遇攻击分析】

【Beosin：Polygon链上LibertiVault合约遭遇攻击分析】2023年07月11日06点28分老不正经报道，据Beosin旗下BeosinEagleEye监测显示，Polygon链上LibertiVault合约遭遇攻击，损失约123ETH和56,234USDT价值约29万美元，以及以太坊链上35ETH和96223USDT价值约16万美元，总共超45万美元。技术人员分析发现，本次攻击是由于LibertiVault合约存在重入漏洞所导致。1、攻击者使用闪电贷借出500万USDT，调用LibertiVault合约deposit函数进行质押，其质押逻辑会将质押的代币一部分用于兑换，然后再计算铸币数量，铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。2、而兑换操作swap会调用黑客的合约，此时黑客第一次重入调用deposit，并在此函数中二次重入，向合约打入250万USDT。3、二次重入结束后，合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币，第一次重入的deposit函数运行结束后，黑客又向其中打入了250万USDT。4、此时，执行完了外层deposit函数中的兑换操作，合约又会按照250万USDT与合约USDT余额比值进行铸币。5、问题就出在第四点，按理来说，第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数，但这里是使用的重入的形式，合约余额在最开始就已经获取了，所以参数并未改变，还是使用的原来的余额进行计算，导致给黑客铸了大量的凭证代币。6、最后黑客移除凭证代币，归还闪电贷获利。