据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Discover项目正在持续遭到闪电贷攻击,攻击者通过闪电贷使用BSC-USD大量重复兑换Discover代币,其中一个攻击者0x446...BA277获利约49BNB已转入Tornado.cash。
安全团队:DFX Finance攻击者获利逾23万美元:11月11日消息,据慢雾安全团队情报,ETH链上的DFX Finance项目遭到攻击,攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下:
1. 攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况,之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。
2. 紧接着继续Curve合约的flash函数进行闪电贷,因为该函数未做重入锁保护,导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。
3. 存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数,在该函数中会将第二步中借来的资金转移回Curve合约里,并且为攻击合约进行存款的记账,并且为攻击合约铸造存款凭证。
4. 由于利用重入了存款函数来将资金转移回Curve合约中,使得成功通过了闪电贷还款的余额检查。
5. 最后调用withdraw函数进行取款,取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证,并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。
此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护,导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断,由于存款时有记账所以攻击者可以成功提款获利。[2022/11/11 12:51:08]
攻击交易:0x1dd4989052f69cd388f4dfbeb1690a3f3a323ebb73df816e5ef2466dc98fa4a4,攻击合约:0xfa9c2157cf3d8cbfd54f6bef7388fbcd7dc90bd6。
安全团队:发现一虚假审计网站:据CertiK官方推特表示,社区成员正就虚假审计网站与他们联系,CertiK官方表示与“https :// manapool-eth[.]net/ ”没有任何关系,希望用户认准certik.com网址,保持警惕。[2022/9/12 13:24:08]
攻击者地址:0x446247bb10B77D1BCa4D4A396E014526D1ABA277。
安全团队:一些恶意网站借“以太坊合并”进行网络钓鱼:金色财经消息,据Beosin Alert监测,一些恶意网站正在使用最近“以太坊合并”的热点进行网络钓鱼活动,这些网站包括ethereum-2[.]mozellosite[.]com和eth-crv[.]com/erc/#/。[2022/9/2 13:04:05]
据吉林日报报道,近日,江苏省连云港市连云区人民检察院以贩卖罪将使用比特币、门罗币等虚拟货币进行交易的贩王某诉至法院,目前该案正在审理中.
1900/1/1 0:00:00据官方治理网站,Terra社区关于销毁社区池剩余UST和跨链流动性激励代币的提案Prop1747以99.39%的支持率获得通过.
1900/1/1 0:00:00大型多人在线角色扮演游戏(MMORPG)Tatsu.gg在转向web3游戏模式之前更名为Tatsumeeko,并宣布完成750万美元种子轮融资.
1900/1/1 0:00:00据U.Today报道,在Terra2.0正式上线后,Anchor协议中的一个预言机漏洞造成了约80万美元的损失.
1900/1/1 0:00:00中国绿发会副理事长兼秘书长周晋峰在今日举行的以太坊上海Web3.0开发者峰会上发表主题致辞,并宣布峰会平行赛事黑客松大赛正式开幕.
1900/1/1 0:00:00据u.today报道,美国证券交易委员会已通知法院,它计划对XRP持有人要求成为法庭之友的请求提出异议.
1900/1/1 0:00:00