Curve:安全团队：Discover项目正在持续遭到闪电贷攻击

据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Discover项目正在持续遭到闪电贷攻击，攻击者通过闪电贷使用BSC-USD大量重复兑换Discover代币，其中一个攻击者0x446...BA277获利约49BNB已转入Tornado.cash。

安全团队：DFX Finance攻击者获利逾23万美元:11月11日消息，据慢雾安全团队情报，ETH链上的DFX Finance项目遭到攻击，攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下：

1. 攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。

2. 紧接着继续Curve合约的flash函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。

3. 存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数，在该函数中会将第二步中借来的资金转移回Curve合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证。

4. 由于利用重入了存款函数来将资金转移回Curve合约中，使得成功通过了闪电贷还款的余额检查。

5. 最后调用withdraw函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。

此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。[2022/11/11 12:51:08]

攻击交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻击合约:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6。

安全团队：发现一虚假审计网站:据CertiK官方推特表示，社区成员正就虚假审计网站与他们联系，CertiK官方表示与“https :// manapool-eth[.]net/ ”没有任何关系，希望用户认准certik.com网址，保持警惕。[2022/9/12 13:24:08]

攻击者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277。

安全团队：一些恶意网站借“以太坊合并”进行网络钓鱼:金色财经消息，据Beosin Alert监测，一些恶意网站正在使用最近“以太坊合并”的热点进行网络钓鱼活动，这些网站包括ethereum-2[.]mozellosite[.]com和eth-crv[.]com/erc/#/。[2022/9/2 13:04:05]

标签：CURCurveERTETHCURE价格LP-sCurveliberty币1978ethically

NEAR热门资讯