金色财经报道,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,dForcenet合约,分别在Optimism和Arbitrum两条L2链上遭到了攻击。两条链上总损失约370万美元。据Beosin安全技术人员分析,原因为利用curvepool的重入漏洞,影响了Oracle的价格,通过1.借出超过抵押品价值的贷款不归还;2.在价格被操纵的情况下清算头寸获取利润。在Arbitrum上的攻击交易获利719,437枚dForceUSD和1236枚ETH。ETH还留在Arbitrum链上的地址上,USX通过跨链桥转移到Optimism链上。在Optimism链上的攻击交易获利1,037,000USX,最后所有的USX被兑换成了1110枚ETH。BeosinTrace追踪发现目前被盗ETH还留在Optimism链上的地址上。
安全团队:JIM2.0代币存在后门功能,请尽快移除WETH/JIM2.0交易对中资产:7月17日消息,据Beosin Alert监测,以太坊上的JIM2.0代币存在后门功能,允许其合约所有者无限铸币。建议用户尽快移除WETH/JIM2.0交易对中的资产。[2023/7/17 10:59:24]
安全团队:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权:金色财经报道,据慢雾安全团队情报,2023年4月9日,SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下:
1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查,导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。
2. 由于在合约中并未对 Pool 是否合法进行检查,直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。
3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数,由于 lastCalledPool 变量已被设置为 Pool,因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。
4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数,以窃取其他已对 RouteProcessor2 授权的用户的代币。
幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。[2023/4/9 13:53:21]
安全团队:Little Lemon Friends项目Discord服务器遭到攻击:金色财经消息,据CertiK监测,Little Lemon Friends项目Discord服务器遭到攻击。请社区用户不要点击链接,铸造或批准任何交易。[2022/11/6 12:22:19]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。