慢雾安全团队对NewFreeDao今日遭遇的闪电贷攻击进行了分析,称此次攻击的主要原因在于合约中计算奖励的方式过于简单,仅取决于调用者的余额故导致被闪电贷套利。慢雾安全团队建议在设计奖励方式时应采用多个因素动态计算。
安全团队:DeFi协议land疑似遭到攻击,损失约15万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,UTC时间2023年5月14日,DeFi协议land疑似遭到攻击,损失约15万美元,Beosin Trace追踪发现已有149,616个BUSD被盗,目前,大部分被盗资金还在攻击者地址。其攻击的原因在于mint权限控制缺失。Beosin安全团队现将分析结果分享如下:1.项目方存在几个miner地址可以mint NFT,其中包含0x2e59开头地址合约。2.攻击者调用0x2e59开头地址合约mint 200个NFT。3.攻击者调用0xeab0开头地址函数,用上一步铸造的NFT换取大量XQJ代币(每个NFT兑换200XQJ),直到该合约无法换出XQJ。4.攻击者用28,601XQJ兑换了149,616BUSD。5.攻击者再次mint NFT直到NFT发行上限,攻击结束后攻击者仍持有733个NFT。[2023/5/15 15:03:53]
攻击过程如下:1.攻击者首先通过闪电贷从Pancake借出了大量的WBNB,并换成了NFD代币;2.攻击者将第一步兑换的NFD代币转入攻击合约中,攻击合约会创建一个新的攻击合约2并接收代币;3.攻击合约2调用了未开源的被黑合约中(0x8b068e22)的0x6811e3b9函数,通过反编译该合约分析出该函数仅通过调用者的NFD代币余额来计算获取的奖励并将奖励转给调用者,余额越多计算的奖励就越大,攻击合约2将在获取奖励后把奖励转移给新部署的攻击合约,并再次调用0x6811e3b9函数获取奖励,通过不断创建新的攻击合约获取奖励来滚雪球套出池子里的所有代币;4.将获得的NFD代币通过Pancake换成WBNB,归还闪电贷后获利。攻击交易:0x1fea385acf7ff046d928d4041db017e1d7ead66727ce7aacb3296b9d485d4a26。
安全团队:BNB Chain上GXY代币发生Rug Pull:金色财经报道,据CertiK监测,BNB Chain上GXY代币发生Rug Pull,不要与其他Galaxy Coin代币混淆。0xBf43开头地址昨天开始移除流动性,并继续出售代币。约79000美元已转移到外部账户(EOA)0x1064。[2022/8/30 12:57:21]
此前消息,NewFreeDao项目疑似遭闪电贷攻击,攻击者获利4500枚BNB,并将其中的2000枚BNB兑换成55万枚BSC链上的USD。
安全团队:DOD项目代币价格暴跌94.68%,有极高的Rug Pull风险:5月6日消息,CertiK安全团队监测,北京时间2022年5月6日凌晨3:30,DOD项目代币价格暴跌94.68%。经CertiK多方面证实,该项目有极高的Rug Pull风险。目前。该rug pull项目总计损失约135万美元,具体数字CertiK将在随后更详细的报告中说明。
这些代币现在正在被偷换/交易成BNB和其他资产,并且被偷走的项目代币被存放在两个通过交易与DOD \"M \"和 \"A \"钱包相关的地址中:0x2cbfda0600f26514b5715875aa4b273bf5edc775和0x404bc3bb20cfbea9ec7345f6e8b9321b67ed14d0[2022/5/6 2:53:52]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。