据慢雾区消息,BSC上的EGDFinance项目遭受黑客攻击,导致其池子中资金被非预期的取出。慢雾安全团队对此进行了分析,称本次事件是因为EGDFinance的合约获取奖励时计算奖励的喂价机制过于简单,导致代币价格被闪电贷操控从而获利。具体分析如下:
安全团队:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权:金色财经报道,据慢雾安全团队情报,2023年4月9日,SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下:
1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查,导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。
2. 由于在合约中并未对 Pool 是否合法进行检查,直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。
3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数,由于 lastCalledPool 变量已被设置为 Pool,因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。
4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数,以窃取其他已对 RouteProcessor2 授权的用户的代币。
幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。[2023/4/9 13:53:21]
1.由于EGDFinance合约中获取奖励的claimAllReward函数在计算奖励时会调用getEGDPrice函数来进行计算EGD的价格,而getEGDPrice函数在计算时仅通过pair里的EGD和USDT的余额进行相除来计算EGD的价格。2.攻击者利用这个点先闪电贷借出池子里大量的USDT,使得EGD代币的价格通过计算后变的很小,因此在调用claimAllReward函数获取奖励的时候会导致奖励被计算的更多,从而导致池子中的EGD代币被非预期取出。
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
此外,据派盾预警监测,此次攻击事件中已有3.6万BUSD被盗。
安全团队:Neoteric.finance发生Rug Pull,损失至少10万美元:7月20日消息,据CertiK监测,Neoteric.finance发生Rug Pull,其NTRC代币价格下跌超91.6%。目前的报告显示损失约为10万美元,但仍在增加。请保持警惕。[2022/7/20 2:25:02]
借贷协议zkLend对即将上线测试网的产品Artemis进行了展示,包括直观的仪表盘、资产分层、经风险调整的借贷因子等功能.
1900/1/1 0:00:00据Decrypt报道,美国消费者监督组织“广告真相(TINA)”表示,其周一已对17位知名名人发出通知,原因是他们在宣传NFT时没有适当披露信息.
1900/1/1 0:00:00Coinbase在博客文章中对上周Nomad跨链桥黑客攻击事件进行了分析,根据该文章,参与此次攻击的地址中,88%的地址已被确定为“模仿者”,在8月1日盗取了总价值8800万美元的代币.
1900/1/1 0:00:00据CoinDesk报道,加密货币交易所Blockchain.com因向三箭资本(ThreeArrowsCapital)发放贷款而面临2.7亿美元损失.
1900/1/1 0:00:00Etherscan链上数据显示,Nomad呼吁攻击者返还资金,Nomad对攻击者表示:“如果你愿意将不当获利返还,则不会对你采取进一步行动,且可获得20%的赏金,按照白帽处理.
1900/1/1 0:00:00据News1报道,Upbit运营商Dunamu宣布将在未来5年内投资5000亿韩元,并在该国首尔总部和地区办公室创造1万个新工作岗位.
1900/1/1 0:00:00