【Beosin：Polygon链上LibertiVault合约遭遇攻击分析】

【Beosin：Polygon链上LibertiVault合约遭遇攻击分析】2023年07月11日06点28分老不正经报道，据Beosin旗下BeosinEagleEye监测显示，Polygon链上LibertiVault合约遭遇攻击，损失约123ETH和56,234USDT价值约29万美元，以及以太坊链上35ETH和96223USDT价值约16万美元，总共超45万美元。技术人员分析发现，本次攻击是由于LibertiVault合约存在重入漏洞所导致。1、攻击者使用闪电贷借出500万USDT，调用LibertiVault合约deposit函数进行质押，其质押逻辑会将质押的代币一部分用于兑换，然后再计算铸币数量，铸币数量是根据和合约本次存入代币量与合约存入之前的余额比例来进行计算的。2、而兑换操作swap会调用黑客的合约，此时黑客第一次重入调用deposit，并在此函数中二次重入，向合约打入250万USDT。3、二次重入结束后，合约会按照250万USDT与之前合约的USDT余额比值为黑客铸币，第一次重入的deposit函数运行结束后，黑客又向其中打入了250万USDT。4、此时，执行完了外层deposit函数中的兑换操作，合约又会按照250万USDT与合约USDT余额比值进行铸币。5、问题就出在第四点，按理来说，第二次计算合约余额应该是之前的余额加上第一次打入的250万余额来作为本次计算的参数，但这里是使用的重入的形式，合约余额在最开始就已经获取了，所以参数并未改变，还是使用的原来的余额进行计算，导致给黑客铸了大量的凭证代币。6、最后黑客移除凭证代币，归还闪电贷获利。

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的”ClaimQuota=ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

【Juno开发人员：主网暂停源于恶意智能合约攻击，网络正在修复中】

【Juno开发人员：主网暂停源于恶意智能合约攻击，网络正在修复中】4月7日消息，由于网络攻击，基于Cosmos的区块链Juno于周二下线。根据该项目官方推特转发的消息，截至发稿时该网络仍处于离线状态，但没有用户资金受到影响，Juno核心开发团队表示正在修复中。一位不愿透露姓名的Juno核心开发人员表示，网络崩溃源于一个恶意智能合约，该合约被伪装成一个简单的“helloworld”程序。可疑的攻击者在三天的时间里向智能合约发送了超过400笔交易，这显然是一个反复试验的过程，最终锁定了一个特定的交易组合，导致网络崩溃。开发人员称，攻击者利用了一个区块链漏洞，Juno计划在攻击发生后的几个小时内通过更新来解决这个漏洞。该开发者表示，该漏洞已被公开披露，因为它影响了所有使用CosmWasm智能合约平台的区块链。此前消息，Juno在区块高度2578108处停止出块。