EOS:Beosin：DeFi 借贷协议 Sentiment 大部分被盗资金仍在攻击者地址

ForesightNews消息，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台分析，今晨被攻击的DeFi借贷协议Sentiment被盗资产约100万美元，其中包含0.5枚WBTC、30枚WETH、53.8万枚USDC和36万枚USDT。目前，大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。Beosin安全团队分析该起事件：1.攻击者首先调用BalancerVault的「joinPool」函数进行质押。2.然后再调用「exitPool」取回质押，在这个过程中，BalancerVault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中，攻击者调用0x62c5合约的borrow函数，该过程需要根据BalancerVault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的「exitPool」过程中，pool中总供应量已经减少而数据还没有更新，攻击者利用这个数据错误从而多借出资产达成获利。

Beosin发现Move VM严重级别漏洞:金色财经报道，近日，区块链安全公司Beosin发现Move VM严重级别漏洞。Beosin安全研究团队在Move虚拟机中发现了一个没有限制递归调用深度而导致的栈溢出漏洞，这个漏洞可以导致整个网络崩溃（total network shutdown），还会让新的validator节点无法加入到网络中，甚至有可能导致硬分叉（hard fork）。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影响。目前该漏洞已被官方修复。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修复了此漏洞。[2023/6/15 21:37:59]

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

动态 | Beosin预警：持续警惕hardfail状态攻击 ?:Beosin（成都链安）预警，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，目前仍有不少攻击者尝试使用hard_fail 状态攻击，攻击测试目标已由交易所转向各类游戏合约，截止9号晚间10点，攻击者****wge在持续攻击中尝试混合使用正常转账交易和hardfail失败交易，在两次交易中设置同样的memo，如果项目方从节点获取交易数据时没有做好完整的交易判断，可能会因此造成损失，这种攻击尝试虽然简单但仍可能造成危害，Beosin（成都链安）提醒各项目方做好自检自查，对交易执行状态进行校验，避免不必要的损失。[2019/4/9]

标签：SINEOSGVCUSDsingularpointLEOS价格AGVC币usdt币交易违法吗

以太坊交易所热门资讯