【黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado】

【黑客利用重入漏洞攻击Paraluni,获利逾170万美元,约1/3已流入Tornado】今日8时04分(HKT),BSC链上的元宇宙金融项目Paraluni遭受黑客攻击,黑客获利逾170万美元。据欧科云链链上天眼初步分析:1、攻击者资金来自PancakeSwap的闪电贷;2、问题出在项目方MasterCheif合约的depositByAddLiquidity方法,该方法未校验代币数组参数address[2]memory_tokens是否和pid参数指向的LP相吻合,在涉及到LP数额变化时,也未加重入锁。目前黑客在BSC链上的地址「0x94bc」的账户余额为3000.01BNB(约112.58万美元),另有235.45ETH(约60.86万美元)通过cBridge跨链到了ETH网络「0x94bc」。其中约1/3被盗资金(230ETH)已流入TornadoCash。该事件提醒我们,在涉及到金额变动的合约方法中,一定要关注重入漏洞,尽量使用重入锁modifier。链上天眼团队已对相关地址进行了监控,并将进一步跟进事件进展。

相关推荐

封面图片

【安全团队:dForcenet合约遭受攻击,黑客获利约370万美元】

【安全团队:dForcenet合约遭受攻击,黑客获利约370万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,dForcenet合约,分别在Optimism和Arbitrum两条L2链上遭到了攻击。两条链上总损失约370万美元。据Beosin安全技术人员分析,原因为利用curvepool的重入漏洞,影响了Oracle的价格,通过1.借出超过抵押品价值的贷款不归还;2.在价格被操纵的情况下清算头寸获取利润。在Arbitrum上的攻击交易获利719,437枚dForceUSD(USX)和1236枚ETH(约195万美元)。ETH还留在Arbitrum链上的地址上,USX通过跨链桥转移到Optimism链上。在Optimism链上的攻击交易获利1,037,000USX,最后所有的USX被兑换成了1110枚ETH(约175万美元)。BeosinTrace追踪发现目前被盗ETH还留在Optimism链上的地址上。
封面图片

【Beosin:BSC上项目Swap-LP遭受攻击,损失609个ETH,约100万美元】

【Beosin:BSC上项目Swap-LP项目遭受攻击,损失609个ETH,约100万美元】据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,2023年5月20日,BSC上项目Swap-LP项目遭受攻击,攻击者地址0xdEAd40082286F7e57a56D6e5EFE242b9AC83B137,累计获利609个ETH,约100万美元。资金仍在攻击者地址。
封面图片

【慢雾:Poly Network再次遭遇黑客攻击,黑客已获利价值超439万美元的主流资产】

【慢雾:PolyNetwork再次遭遇黑客攻击,黑客已获利价值超439万美元的主流资产】2023年07月02日05点17分老不正经报道,据慢雾区情报,PolyNetwork再次遭遇黑客攻击。分析发现,主要黑客获利地址为0xe0af…a599。根据MistTrack团队追踪溯源分析,ETH链第一笔手续费为TornadoCash:1ETH,BSC链手续费来源为Kucoin和ChangeNOW,Polygon链手续费来源为FixedFloat。黑客的使用平台痕迹有Kucoin、FixedFloat、ChangeNOW、TornadoCash、Uniswap、PancakeSwap、OpenOcean、Wing等。截止目前,部分被盗Token(sUSD、RFuel、COOK等)被黑客通过Uniswap和PancakeSwap兑换成价值122万美元的主流资产,剩余被盗资金被分散到多条链60多个地址中,暂未进一步转移,全部黑客地址已被录入慢雾AML恶意地址库。被攻击的具体原因尚待分析,慢雾安全团队将持续跟进此事件。
封面图片

【安全团队:DFX Finance存在严重漏洞遭攻击,攻击者获利逾23万美元】

【安全团队:DFXFinance存在严重漏洞遭攻击,攻击者获利逾23万美元】2022年11月11日03点15分11月11日消息,据慢雾安全团队情报,ETH链上的DFXFinance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。2.紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。4.由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。5.最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。
封面图片

【安全团队:以太坊上PEAKDEFI遭攻击,黑客获利约6.6万美元】

【安全团队:以太坊上PEAKDEFI遭攻击,黑客获利约6.6万美元】根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,ETH链上的PEAKDEFI项目遭受攻击,攻击者利用合约中sellLeftoverToken()函数未进行权限校验。导致黑客合约中转走29832BAT,5083SUSHI,32508matic,831link,总价值66659美元。
封面图片

3 月因漏洞利用、黑客攻击和退出诈骗而损失约 7900 万美元

3月因漏洞利用、黑客攻击和退出诈骗而损失约7900万美元CertiK在X平台表示,结合3月份的所有事件,确认在返还约6900万美元后,因漏洞利用、黑客攻击和诈骗而损失了约7900万美元。总额较2月份下降48%,其中网络钓鱼攻击造成约2,100万美元损失。退出诈骗:约570万美元;闪电攻击:约2190万美元;漏洞利用:约5210万美元;返还:约6,920万美元。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人