【安全公司：Apache NFT SalesRoom发生Rug Pull，部署者获利68万美元】

【安全公司：ApacheNFTSalesRoom发生RugPull，部署者获利68万美元】2023年08月03日03点00分老不正经报道，据BeosinAlert监测，BNBChain链上ApacheNFTSalesRoom（ASN）发生RugPull，部署者获利约68万美元。部署者将大量代币转移到地址0xdc8开头地址，现在该地址已以68万美元的BSC-USD价格抛售了100万枚ASN。

【安全团队：Nova代币暴跌，攻击者获利约10万美元】

【安全团队：Nova代币暴跌，攻击者获利约10万美元】2022年12月09日06点37分老不正经报道，据BeosinEagleEye平台监测显示，Nova代币暴跌，攻击者（0xcbf184b8156e1271449cfb42a7d0556a8dcfef72）首先调用rewardHolders函数铸造了10,000,000,000,000,000,000,000,000,000个NOVA代币，随后利用铸造出的代币在Pair中兑换出了363.7BNB(105,811美元)。目前获利资金已全部进入Tornado.Cash。

【Mango Labs：攻击者Avraham Eisenberg应偿还剩余的5000万美元款项】

【MangoLabs：攻击者AvrahamEisenberg应偿还剩余的5000万美元款项】2023年02月16日12点10分老不正经报道，MangoMarkets攻击者AvrahamEisenberg表示，自己不应被要求偿还更多有争议的资金，已归还在交易中获得的价值1.14亿美元代币中的6700万美元。而MangoLabs则要求曼哈顿联邦法院命令Eisenberg偿还剩余的款项，并表示它与Eisenberg的和解应该作废，因为这是在胁迫下达成的。

【Mango攻击者在Aave借入价值2000万美元的Curve代币后被清算】

【Mango攻击者在Aave借入价值2000万美元的Curve代币后被清算】2022年11月23日06点20分老不正经报道，Mango攻击者AvrahamEisenberg使用去中心化借贷平台Aave借入了4000万个Curve（CRV）代币（当时价值2000万美元），然后将它们转移到OKEx加密货币交易所。据区块链分析公司Akrham称，Eisenberg以4000万美元的USDC稳定币作为抵押品，在Aave上借入了大部分CRV代币。根据区块链数据，他随后在两笔交易中将4000万个CRV发送到加密货币交易所OKEx。根据Blockanalitica的区块链数据，Eisenberg所有的CRV贷款都被清算，并在Aave留下了160万美元的坏账。Eisenberg因在10月份利用漏洞从基于Solana的DeFi协议MangoMarkets流失1.14亿美元而在加密圈声名狼藉。随后，他向Mango退还了6700万美元，并为自己的尝试进行了辩护。

【安全团队：DFX Finance存在严重漏洞遭攻击，攻击者获利逾23万美元】

【安全团队：DFXFinance存在严重漏洞遭攻击，攻击者获利逾23万美元】2022年11月11日03点15分11月11日消息，据慢雾安全团队情报，ETH链上的DFXFinance项目遭到攻击，攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下：1.攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。2.紧接着继续Curve合约的flash函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。3.存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数，在该函数中会将第二步中借来的资金转移回Curve合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证。4.由于利用重入了存款函数来将资金转移回Curve合约中，使得成功通过了闪电贷还款的余额检查。5.最后调用withdraw函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

【安全公司：ElasticSwap项目被攻击，攻击者共获利约85.4万美元】

【安全公司：ElasticSwap项目被攻击，攻击者共获利约85.4万美元】2022年12月13日02点00分12月13日消息，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，ElasticSwap被攻击，由于合约中的添加流动性与移除流动性的计算方式不一致，在添加流动性功能中使用常规的恒定K值算法，但在移除流动性功能中直接获取了当前池子中两种代币的余额进行计算,攻击者首先添加流动性，之后再将一定数量的USDC.E转入TIC-USDC交易池中，此时计算出应转给攻击者的USDC.E数量已经在基础上乘以了LP代币数量即数倍，之后攻击者再调用移除流动性方法获利22454枚AVAX（约合290,328美元）。同时，以太坊链上ElasticSwap下的AMPL-USDC池子也被同样的手法攻击，攻击者获利约445枚ETH（约合564,000美元），截止目前两笔获利资金均存放在攻击者账户。第一笔攻击tx：https://snowtrace.io/tx/0x782b2410fcc9449ead554a81f78184b6f9cca89f07ea346bc50cf11887cd9b18；第一笔攻击者账户：0x25fDe76A52D01c83E31d2d3D5e1d2011ff103c56。第二笔攻击tx：https://etherscan.io/tx/0xb36486f032a450782d5d2fac118ea90a6d3b08cac3409d949c59b43bcd6dbb8f；第二笔攻击者账户：0xbeadedbabed6a353c9caa4894aa7e5f883e32967。