据BeosinEagleEye监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元,Beosin安全团队发现,攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向0x0248地址转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。结合地址特征,疑似项目方使用Profanity工具生成地址。该工具在之前发的文章中,已有安全研究者确认其随机性存在安全缺陷,导致私钥可能泄漏。Beosin安全团队建议:1.项目方移除0x0000000fe6a地址以及其他靓号地址的setCommonAdmin/owner等管理权限,并使用安全的钱包地址替换。2.其他使用Profanity工具生成钱包地址的项目方或者用户,请尽快转移资产。
Beosin:JPEG'd 遭受攻击原因为重入攻击:金色财经报道,据Beosin安全团队分析,JPEG'd 项目遭遇攻击的根本原因在于重入,攻击者在调用remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。
此前报道,JPEG'd项目遭遇攻击,损失至少约1000万美元。[2023/7/31 16:07:53]
Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]
REV智能合约已通过Beosin(成都链安)的安全审计:据官方消息,Justswap上的明星项目,REV团队释放出REV智能合约审计报告,由Beosin(成都链安)安全审计完成。
据了解,REV(Revolution Token)是基于区块链的新型社会实验型代币。其独特之处在于内嵌了交易燃烧、尾单博弈、持币分红三种独特的创新机制。
REV技术介绍:智能合约的整体设计清晰,逻辑缜密,代码安全靠谱,从性能和功能上完全具备了区块链顶级去中心化金融项目的一切条件。合约地址(认准唯一)
TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。详情点击原文链接。[2020/9/16]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。