[Beosin:Polygon链上Atlantis Loans协议再度发起恶意提案]金色财经报道,区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Polygon链上Atlantis Loans协议再度发起恶意提案,提案ID:18。事前2023年6月11日Atlantis Loans协议曾经因恶意提案篡改管理合约权限,替换后门合约,导致协议损失250W美元。Beosin提醒相关用户尽快移除相关授权,防止资产损失。
Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]
Beosin:QANplatform跨链桥遭受黑客攻击,涉及金额约189万美元:10月11日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因为0x68e819是创建跨链桥地址,所以该地址应该属于项目方。)调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币。存放在攻击者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盗资金中还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]
Beosin:Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道,Beosin 安全团队发现,在以太坊合并并分叉出 ETHW 后,Gnosis Omni Bridge跨链桥项目,由于合约代码中固定写死了chainID,而未真正验证当前所在链的chainID,导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH,随后将相同的交易内容在 ETHW 链上进行了重放,获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。
Beosin 安全团队建议如果项目方合约里面预设了chainID,请先手动将chainId更新,即使项目方决定不支持ETHW,但是由于无法彻底隔绝通过跨链桥之间的资产流动,建议都在ETHW链上更新。[2022/9/19 7:04:46]
郑重声明: Beosin:Polygon链上Atlantis Loans协议再度发起恶意提案版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。