【Beosin：WooPPV2合约遭受价格操控攻击损失约850万美元事件简析】

【Beosin：WooPPV2合约遭受价格操控攻击损失约850万美元事件简析】2024年03月06日10点02分老不正经报道，据BeosinTrace资金分析平台显示，Arbitrum链上的WooPPV2合约项目受到价格操控攻击，造成约850万美元的损失。黑客利用闪电贷借出USDC.e和Woo代币，然后通过WooPPV2合约进行频繁的代币兑换。由于WooPPV2合约的价格计算存在缺陷，黑客能够操控兑换过程中的价格，导致大量Woo代币被盗。目前，该合约已暂停，BeosinTrace将继续监测被盗资金的动向。

【Beosin：SEAMAN合约遭受漏洞攻击简析】

【Beosin：SEAMAN合约遭受漏洞攻击简析】根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781BUSD。BeosinTrace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】

【Beosin：BNBChain上DPC代币合约遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的”ClaimQuota=ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

【Beosin：Skyward Finance项目遭受攻击事件简析】

【Beosin：SkywardFinance项目遭受攻击事件简析】根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，Near链上的SkywardFinance项目遭受漏洞攻击，Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数，导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id，并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near，约320万美元。BeosinTrace追踪发现被盗金额已被攻击者转走。

Beosin：Paraluni 遭受价格操控攻击，损失超 33.6 万美元

Beosin：Paraluni遭受价格操控攻击，损失超33.6万美元据Beosin旗下BeosinEagleEye监测显示，攻击者利用Paraluni协议价格操控漏洞，从合约中获利约33.6万美元。据此前消息，Web3安全平台Ancilia在推特发文称，币安智能链上元宇宙项目Paraluni正在遭遇价格操纵攻击，攻击者利用价格操纵放大抵押品的价值，从而借出更多的资金，导致项目损失。

【Beosin：XaveFinance项目遭受黑客攻击事件分析】

【Beosin：XaveFinance项目遭受黑客攻击事件分析】据BeosinEagleEye平台监测显示，XaveFinance项目遭受黑客攻击，导致RNBW增发了1000倍。攻击交易为0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。Beosin安全团队分析发现攻击者首先创建攻击合约0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3，该攻击合约首先调用DaoModule合约0x8f90的executeProposalWithIndex()函数执行提案，提案内容为调用mint()函数铸造100,000,000,000,000个RNBW，并将ownership权限转移给攻击者。最后黑客将其兑换为xRNBW，存放在攻击者地址上（0x0f44f3489D17e42ab13A6beb76E57813081fc1E2）。目前被盗资金还存放在攻击者地址，BeosinTrace将对被盗资金进行持续追踪。