DAI:Beosin：Euler Finance攻击者只转移了100个ETH到tornado cash，大部分被盗资金仍在攻击者地址

据区块链安全审计公司Beosin旗下BeosinEagleEye监测显示，DeFi借贷协议EulerFinance今日疑似遭到攻击，损失约1.97亿美元，BeosinTrace追踪发现已有34,224,863.42个USDC和849.14个WBTC和85818.26个stETH和8,877,507.35个DAI被盗，目前，大部分被盗资金还在攻击者地址，攻击者只转移了100个ETH到tornadocash。

Beosin：civfund的ETH合约遭到攻击，损失18万美元:金色财经报道，据Beosin监测，civfund的ETH合约遭到攻击，损失18万美元。受害者合约0x7CAEC5E4a3906d0919895d113F7Ed9b3a0cbf826不是开源的。攻击者调用uniswapV3MintCallback来转移其他用户批准的资金。请尽快撤销对受攻击合约的批准。[2023/7/8 22:25:30]

Beosin安全团队以其中一笔交易为例分析如下：0xc310a0affe2169d1f6feec1c63dbc7f7c62a887fa48795d327d4d2da2d6b111d

Beosin：sDAO项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的sDAO项目遭受漏洞攻击，Beosin分析发现由于sDAO合约的业务逻辑错误导致，getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的，计算的奖励与用户添加LP代币数量正相关，与合约拥有总LP代币数量负相关，但合约提供了一个withdrawTeam的方法，可以将合约拥有的BNB以及指定代币全部发送给合约指定地址，该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后，调用withdrawTeam函数将LP代币全部发送给了指定地址，并立刻又向合约转了一个极小数量的LP代币，导致攻击者在随后调用getReward获取奖励的时候，使用的合约拥有总LP代币数量是一个极小的值，使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/21 7:53:09]

1.攻击者首先使用AAVE闪电贷出了3000万个DAI，接着将其中的2000万DAI进行抵押，获得了19,568,124个eDAI的抵押。

Beosin：Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道，Beosin 安全团队发现，在以太坊合并并分叉出 ETHW 后，Gnosis Omni Bridge跨链桥项目，由于合约代码中固定写死了chainID，而未真正验证当前所在链的chainID，导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH，随后将相同的交易内容在 ETHW 链上进行了重放，获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。

Beosin 安全团队建议如果项目方合约里面预设了chainID，请先手动将chainId更新，即使项目方决定不支持ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在ETHW链上更新。[2022/9/19 7:04:46]

2.攻击者接着调用mint函数利用这19,568,124个eDAI借贷195,681,243个eDAI和200,000,000个dDAI(债务资产)，从而将自己的eDAI余额放大到了十倍。

3.攻击者接着将剩余的1000万DAI使用repay函数进行了质押，再次借贷了195,681,243个eDAI和200,000,000个dDAI。

4.攻击者后续将进行了donateToReserves操作，将一亿的eDAI进行了销毁，使得eDAI小于了dDAI达到了清算条件。

5.最后在清算时，由于先前攻击者通过donateToReserves函数和mint函数，使抵押资产和债务资产比值小于1，导致清算人无需向协议转入资金就可以清算攻击者债务。后续攻击者将Euler合约所有的3800万DAI提取出来，并且将3000万的DAI归还给了AAVE，获利约800万DAI。

标签：DAISINEOSETHMEDAI币Singular Japaneos币还有希望吗GETH价格

欧易交易所app下载热门资讯