POO:安全团队：LPC项目遭受闪电贷攻击简析，攻击者共获利约45,715美元

7月25日，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，LPC项目遭受闪电贷攻击。成都链安安全团队简析如下：攻击者先利用闪电贷从Pancake借入1,353,900个LPC，随后攻击者调用LPC合约中的transfer函数向自己转账，由于_transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD，最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个LPC，攻击者共获利178BNB，价值约45,715美元，目前获利资金仍然存放于攻击者地址上，成都链安“链必追”平台将对此地址进行监控和追踪。

安全团队：DeFi 借贷协议 Sentiment 大部分被盗资金仍在攻击者地址:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月5日，

DeFi借贷协议sentiment协议遭到攻击，损失约1百万美元，Beosin Trace追踪发现已有0.5WBTC、30个WETH、538,399USDC和360,000USDT被盗，目前，大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。

攻击交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d

Beosin安全团队现将分析结果分享如下：

1.攻击者首先调用Balancer Vault的“joinPool”函数进行质押。

2.然后再调用“exitPool”取回质押，在这个过程中，Balancer Vault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中，攻击者调用0x62c5合约的borrow函数，该过程需要根据Balancer Vault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的\"exitPool\"过程中，pool中总供应量已经减少而数据还没有更新，攻击者利用这个数据错误从而多借出资产达成获利。

攻击者收到消息，如果在4月6日8点（UTC）前归还资产，会获得95000美元奖励，并不会被追究。[2023/4/5 13:45:50]

安全团队：NFT项目yaypegs Discord服务器遭攻击:金色财经报道，据Certik监测，NFT项目yaypegs的Discord服务器遭攻击，在服务器恢复之前，请不要点击链接、铸造或批准任何交易。[2023/1/8 11:01:07]

安全团队：NFT项目Dope Ape Club Discord服务器遭攻击，请勿点击钓鱼链接:7月9日消息，据CertiK监测，NFT项目Dope Ape Club的Discord服务器遭到攻击。聊天被锁定，攻击者发布了一个钓鱼链接。请社区用户不要点击链接、铸造或批准任何交易。[2022/7/9 2:02:21]

标签：ANCENTLPCPOOChipShop FinanceAPY CenterLPC价格POOP

Coinw热门资讯