木星链 木星链
Ctrl+D收藏木星链
首页 > Ethereum > 正文

PLT:安全团队:PLTD项目遭受黑客攻击,攻击者共获利24497枚BUSD

作者:

时间:1900/1/1 0:00:00

据BeosinEagleEyeWeb3安全预警与监控平台检测显示,PLTD项目遭受黑客攻击,其交易池中的所有BUSD被全部兑空,攻击者共获利24,497枚BUSD。经过Beosin安全团队分析,本次攻击主要是利用了PLTD合约中的代码漏洞,通过闪电贷攻击将Cake-LP(0x4397c7)中的PLTD代币余额降为1,然后用手中的PLTD将所有的BUSD全部兑换到攻击合约中。具体细节如下:

第一步:攻击者通过DODO协议的闪电贷发起了2次闪电贷借贷,同借贷66.6万BUSD,作为攻击准备金;第二步:攻击者将66.6万的BUSD全部兑换为157万的PLTD代币,此时,攻击者手中已经持有的大量的PLTD代币,后续将利用这些代币达到操控Cake-LP中的PLTD代币余额的目的;第三步:攻击者查询当前的bron值与Cake-LP的PLTD余额,这是在做攻击前的检查,注意这两个值很关键,关系到攻击的成败;第四步:攻击者直接向Cake-LP(0x4397c7)发送了11.6万的PLTD代币,注意,这个数量刚刚是上一步中Cake-LP中的PLTD代币余额的两倍减去1。第五步:攻击者使用skim将第四步多转入的PLTD取回,由于PLTD合约的transfer函数中,如果from地址是uniswapV2Pair,那么将会调用_tokenTransferBuy。第六步:前面所有的操作都是为了这一步做准备。这一步,攻击者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae这个地址转入1PLTD,由于这个地址不是Cake-LP的地址,这次转账调用的内部函数是_tokenTransfer这个内部函数,问题代码在第451行到456行,由于第四步中,将_bron设置为了Cake-LP的余额减去1,并且在第五步恢复了Cake-LP的余额,这一步直接将Cake-LP的余额减至1(这里略去了通缩分红型代币的tAmount与rAmount转换,这个转换在本次攻击中并不重要),然后再调用Cake-LP的sync函数,将余额同步为reserve。第七步:攻击者将手中的所有PLTD代币,全部兑换为BUSD,几乎掏空了Cake-LP的全部BUSD余额,攻击者获得了69万的BUSD。并将其中的66.6万BUSD归还闪电贷,剩余为本次攻击获利24,497BUSD,并全部转入了0x083c057221e95D45655489Fb01b05C4806387C19地址,截止发文时,该资金未进行转移。

安全团队:WSB Coin发生Rugpull,Token跌超86%:金色财经报道,据派盾(PeckShield)监测显示,MEME项目WSB Coin发生Rugpull,疑似团队以334ETH(约合63.5万美元)的价格抛售大量WSB Token,WSB价格跳水86%。[2023/5/4 14:42:00]

针对本次攻击事件,Beosin安全团队提出以下建议:1.在合约上线之前,项目方应寻找第三方安全公司进行完整的安全审计;2.在代币合约中,直接操作Pair的代币余额是非常危险的行为,建议项目方如非必要,千万不要进行此操作。

安全团队:Sheep Farm Game项目因合约内漏洞遭到攻击:金色财经消息,据CertiK监测,Sheep Farm Game项目因合约内漏洞遭到攻击,损失总计约262枚 BNB,价值约7.2万美元。

BSC地址: 0x4726010da871f4b57b5031E3EA48Bde961F122aA[2022/11/16 13:11:24]

攻击交易:0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0,

安全团队:新统计Crema Finance被黑客攻击损失约880万美元:7月4日消息,据CertiK安全团队监测,北京时间2022年7月3日,Solana上的Crema Finance项目被黑客攻击,目前最新统计数据发现损失约880万美元。

Crema Finance是一个建立在Solana上强大的流动性协议,为交易者和流动性提供者提供各项功能。在发现黑客攻击后,该项目方暂时终止了项目运行,以防止攻击者从平台上抽取更多资金。

CertiK的分析表明,在这次黑客攻击中,攻击者通过使用Solend协议中的6个不同闪电贷来利用合约。初步调查表明,攻击者能够存入和提取借来的代币,并调用了如下三个函数来实现,“DepositFixedTokenType”,“Claim”以及“WithdrawAllTokenTypes”。通过调用”Claim \"函数,黑客能够获得额外的代币。[2022/7/4 1:48:33]

攻击者地址:0x6ded5927f2408a8d115da389b3fe538990e93c5b

标签:PLTCAKEBUSDUSDPLT1币CAKESWAPEBUSD价格USD 价格

Ethereum热门资讯
APT:Aptos早期投资者对Aptos CEO发起的10亿美元股权纠纷诉讼被法院部分驳回

据Cointelegraph报道,在公链Aptos早期投资者ShariGlazer对AptosLabs首席执行官MoShaikh发起的10亿美元股权欺诈的诉讼中.

1900/1/1 0:00:00
以太坊:V神为确保域名所有权提出两种方案:基于需求定期评估年费或定期设置年费上限

以太坊创始人V神在其个人网站发表文章,讨论ENS域名是否应该引入基于需求的经常性费用。V神表示,ENS域名因过于廉价并不是分配域名的最佳方式,由此引发了域名所有权强度和公平性之间的权衡问题,而且.

1900/1/1 0:00:00
CEL:Celsius在破产诉讼期间将不寻求借款人支付未偿贷款

据路透社报道,加密借贷平台Celsius近日在向纽约南区美国破产法院提交的一份文件中表示,在其破产诉讼期间,将不寻求强制执行未偿贷款的付款义务,借款人不需要偿还此类贷款.

1900/1/1 0:00:00
WEB:a16z投资的印度交易所CoinSwitch Kuber因涉嫌违反外汇法遭查

据Cointelegraph报道,周四,印度主要加密交易所CoinSwitchKuber因涉嫌违反外汇法而被反特工搜查.

1900/1/1 0:00:00
DAO:Ooki DAO律师:美CFTC应识别涉嫌违法的人而不是DAO

据CoinDesk报道,针对美国商品期货交易委员会对保证金交易借贷协议Ooki运营组织OokiDAO的诉讼案,提供法律服务的组织LeXpunKArmy表示,监管机构应该识别违反联邦法律的人.

1900/1/1 0:00:00
SBF:SBF曾计划出资50亿美元和马斯克一起收购推特公司,但被马斯克拒绝

据Decrypt报道,根据马斯克针对推特公司的法律诉讼中披露的文本显示,FTX首席执行官SamBankman-Fried曾“有一段时间”想收购推特.

1900/1/1 0:00:00