POO:安全团队：Reaper Farm项目遭到攻击事件解析，项目方损失约170万美元

据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，ReaperFarm项目遭到黑客攻击，成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制，导致调用withdraw或redeem函数可提取任意用户资产。攻击者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻击合约(0x8162a5e187128565ace634e76fdd083cb04d0145)通过漏洞合约(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用户资金，累计获利62ETH，160万DAI，约价值170万美元，目前攻击者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通过跨链将所有获利资金转入Tornado.Cash，成都链安链必追平台将对被盗资金进行实时监控和追踪。

安全团队：DeFi 借贷协议 Sentiment 大部分被盗资金仍在攻击者地址:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月5日，

DeFi借贷协议sentiment协议遭到攻击，损失约1百万美元，Beosin Trace追踪发现已有0.5WBTC、30个WETH、538,399USDC和360,000USDT被盗，目前，大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。

攻击交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d

Beosin安全团队现将分析结果分享如下：

1.攻击者首先调用Balancer Vault的“joinPool”函数进行质押。

2.然后再调用“exitPool”取回质押，在这个过程中，Balancer Vault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中，攻击者调用0x62c5合约的borrow函数，该过程需要根据Balancer Vault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的\"exitPool\"过程中，pool中总供应量已经减少而数据还没有更新，攻击者利用这个数据错误从而多借出资产达成获利。

攻击者收到消息，如果在4月6日8点（UTC）前归还资产，会获得95000美元奖励，并不会被追究。[2023/4/5 13:45:50]

安全团队：ROE Finance 项目遭到闪电贷攻击:金色财经消息，据CertiK监测，ROE Finance项目遭到闪电贷攻击。目前部署者已暂停合约功能，被盗资金总额约为8万美元。

ETH合约地址：0x574FF39184Dee9e46F6C3229B95e0e0938e398d0[2023/1/12 11:07:26]

安全团队：DOD项目代币价格暴跌94.68%，有极高的Rug Pull风险:5月6日消息，CertiK安全团队监测，北京时间2022年5月6日凌晨3:30，DOD项目代币价格暴跌94.68%。经CertiK多方面证实，该项目有极高的Rug Pull风险。目前。该rug pull项目总计损失约135万美元，具体数字CertiK将在随后更详细的报告中说明。

这些代币现在正在被偷换/交易成BNB和其他资产，并且被偷走的项目代币被存放在两个通过交易与DOD \"M \"和 \"A \"钱包相关的地址中：0x2cbfda0600f26514b5715875aa4b273bf5edc775和0x404bc3bb20cfbea9ec7345f6e8b9321b67ed14d0[2022/5/6 2:53:52]

标签：CERNCEPOOLPOOCERBERUSScorpion FinanceMPOOL币BABYPOO币

火必热门资讯