【BlockSec：项目@jaypeggerz遭攻击，损失约15.32ETH】

【BlockSec：项目@jaypeggerz遭攻击，损失约15.32ETH】2022年12月29日06点51分12月29日消息，据BlockSec监测，项目@jaypeggerz遭攻击损失约15.32ETH（约1.8万美元）。BlockSec称这是一种成功操纵JAY代币价格的合约级重入攻击。JAY合约允许用户为buyJay函数传递任意ERC-721代币。攻击者利用该漏洞重新进入JAY合约。具体来说，攻击者先借入72.5ETH进行闪贷，然后用22ETH购买JAY代币。然后他使用另外50.5ETH调用buyJay函数，传递假的ERC-721代币。在伪造的ERC-721代币的transferFrom函数中，攻击者通过调用sell函数重新进入JAY合约，卖出所有JAY代币。由于以太坊余额在buyJay功能开始时有所增加，因此JAY代币价格受到操纵。攻击者在单笔交易中重复该过程两次，总利润为15.32ETH。攻击利润已转入TornadoCash。

【BSC链上DeFi项目Thena受到攻击，损失约2万美元】

【BSC链上DeFi项目Thena受到攻击，项目损失约2万美元】2023年03月28日11点48分3月28日消息，据欧科云链OKLink安全团队监测，BSC链上DeFi项目Thena受到攻击，项目损失约20,000美元。据该安全团队分析，此次攻击事件的主因是Strategy合约升级引入了一些配置问题，且unstake函数未做权限验证，导致攻击者可以通过调用unstake函数并传入参数_beneficiary，将用户的质押的资产unstake至_beneficiary地址。以其中一笔交易为例，攻击者调用unstake函数设置_beneficiary为攻击合约，将用户资产取走，完成攻击。