ERT:安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制

Cobo区块链安全团队就FlurryFinance攻击事件进行了分析，发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同，而是利用了FlurryFinance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵，进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用RabbitFinance的StrategyLiquidate合约来执行任意代码的技巧，但这个技巧涉及到的合约代码本身其实并不存在安全问题。

安全团队：未经验证的合约（0xac15ab开头）存在漏洞，攻击者获利近16万美元:8月13日消息，据Beosin Alert监测，未经验证的合约（0xac15ab开头）存在漏洞，并导致多个地址的损失。

手续费来源于FixedFloat的攻击者地址（0xb9c77d开头）已经获利约 97000美元。目前所有的资金都存放在0x202bad开头地址。

另一个攻击者地址（0x7d9bc4开头）获利约6万美元，并将所有被盗资金转移到Railgun:Relay。[2023/8/13 16:23:30]

Cobo区块链安全团队提醒，开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。

安全团队：NFT项目POUR KOKO的Discord被入侵:9月17日消息，CertiK监测显示，NFT项目POUR KOKO的官方Discord被入侵，并在项目公告中发布了一个钓鱼链接，用户不要点击。[2022/9/17 7:03:29]

此前消息，2月22日，BSC链上的FlurryFinance遭到闪电贷攻击，导致协议中Vault合约中价值数十万美元的资产被盗。

安全团队：ProjectX项目代币价格下跌为黑客攻击并非Rug Pull:7月7日消息，安全团队CertiK刚刚对ProjectX项目PXT代币价格下跌发布更新，称该项目的Discord服务器仍在运行，官方称价格下降是由于黑客攻击（漏洞利用）造成的。CertiK对其技术问题表示歉意。

此前消息，CertiK称ProjectX项目发生Rug Pull，合约部署者抛售代币后获利1.9万美元。[2022/7/7 1:57:33]

来源链接

标签：ERTNANcertikNCEAmberTime Coin币安binance官网certik币价Soju Finance

欧易交易所app下载热门资讯