據BeosinEagleEyeWeb3安全預警與監控平臺檢測顯示,PLTD項目遭受黑客攻擊,其交易池中的所有BUSD被全部兌空,攻擊者共獲利24,497枚BUSD。經過Beosin安全團隊分析,本次攻擊主要是利用了PLTD合約中的代碼漏洞,通過閃電貸攻擊將Cake-LP(0x4397c7)中的PLTD代幣余額降為1,然后用手中的PLTD將所有的BUSD全部兌換到攻擊合約中。具體細節如下:
第一步:攻擊者通過DODO協議的閃電貸發起了2次閃電貸借貸,同借貸66.6萬BUSD,作為攻擊準備金;第二步:攻擊者將66.6萬的BUSD全部兌換為157萬的PLTD代幣,此時,攻擊者手中已經持有的大量的PLTD代幣,后續將利用這些代幣達到操控Cake-LP中的PLTD代幣余額的目的;第三步:攻擊者查詢當前的bron值與Cake-LP的PLTD余額,這是在做攻擊前的檢查,注意這兩個值很關鍵,關系到攻擊的成敗;第四步:攻擊者直接向Cake-LP(0x4397c7)發送了11.6萬的PLTD代幣,注意,這個數量剛剛是上一步中Cake-LP中的PLTD代幣余額的兩倍減去1。第五步:攻擊者使用skim將第四步多轉入的PLTD取回,由于PLTD合約的transfer函數中,如果from地址是uniswapV2Pair,那么將會調用_tokenTransferBuy。第六步:前面所有的操作都是為了這一步做準備。這一步,攻擊者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae這個地址轉入1PLTD,由于這個地址不是Cake-LP的地址,這次轉賬調用的內部函數是_tokenTransfer這個內部函數,問題代碼在第451行到456行,由于第四步中,將_bron設置為了Cake-LP的余額減去1,并且在第五步恢復了Cake-LP的余額,這一步直接將Cake-LP的余額減至1(這里略去了通縮分紅型代幣的tAmount與rAmount轉換,這個轉換在本次攻擊中并不重要),然后再調用Cake-LP的sync函數,將余額同步為reserve。第七步:攻擊者將手中的所有PLTD代幣,全部兌換為BUSD,幾乎掏空了Cake-LP的全部BUSD余額,攻擊者獲得了69萬的BUSD。并將其中的66.6萬BUSD歸還閃電貸,剩余為本次攻擊獲利24,497BUSD,并全部轉入了0x083c057221e95D45655489Fb01b05C4806387C19地址,截止發文時,該資金未進行轉移。
安全團隊:Games for a Living項目Discord服務器已被入侵:金色財經消息,據CertiK監測,Games for a Living項目Discord服務器已被入侵,有黑客發布虛假空投信息。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/5/27 9:45:46]
針對本次攻擊事件,Beosin安全團隊提出以下建議:1.在合約上線之前,項目方應尋找第三方安全公司進行完整的安全審計;2.在代幣合約中,直接操作Pair的代幣余額是非常危險的行為,建議項目方如非必要,千萬不要進行此操作。
安全團隊:BXH被盜資金出現異動,超1700萬美元資金被跨鏈轉移到BTC網絡:9月4日凌晨(UTC+8),慢霧監控到 BXH 被盜資金出現異動,經慢霧 MistTrack 分析,異動詳情如下:
1/BSC 鏈,黑客地址 0x48c9...7d79 Approve Cake Token 給 PancakeSwap。
2/ETH 鏈,黑客地址 0x48c9...7d79 將 3987.78 WETH Withdraw 成 ETH。
3/ETH 鏈,黑客地址 0x4967...Eb35 使用 Uniswap、Curve 將 DAI 全部兌換為 renBTC 和 WBTC,兌換后總數分別為 858.0454 renBTC 和 795.2618 WBTC;其中 858.0454 renBTC(價值約 1701 萬美元) 已全部跨鏈到 BTC 鏈,跨鏈后地址為 1DYR...heSF,目前 BTC 暫未進一步轉移。
截止目前,BXH 被盜資金并沒有出現轉移到交易所的情況,全部被盜資金仍在黑客地址中。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/9/4 13:07:50]
攻擊交易:0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0,
安全團隊:NumberSwap發生RugPull:金色財經消息,據CertiK安全團隊,NumberSwap發生RugPull,代幣價格下跌超96%。目前,部署者擁有超過該項目98%的代幣。此外,他們還正在出售不到1%的供應量,吸引投機者來購買。[2022/7/20 2:24:39]
攻擊者地址:0x6ded5927f2408a8d115da389b3fe538990e93c5b
加密貨幣交易所Gate.io發布公告回應此前“四個錢包資產目前僅有4.79億美元”稱,Gate.io的資產儲備證明由Armanino公司全程負責做鏈上核驗和審計.
1900/1/1 0:00:00據官方消息,全球支付和外匯金融科技公司AZAFinance表示,公司注意到BTCAfricaSA和其他AZAFinance實體被納入FTX的第十一章破產申請中,這與事實不符.
1900/1/1 0:00:00ApeCoinDAO管理團隊成員BTang發起的最新提案AIP-137已開啟投票,該提案設計了特別委員會成員提名程序.
1900/1/1 0:00:00跨鏈互操作性協議LayerZero向投資者發出的備忘錄顯示,其已從FTX/FTXVentures/AlamedaResearch手上回購了100%的股權、幣權及其它任何協議.
1900/1/1 0:00:00以太坊聯合創始人Vitalik在推特發表了自己對于DeFi監管的看法,他認為,“在DeFi前端進行KYC”的想法似乎不是很有意義:它會惹惱用戶,但對黑客無濟于事.
1900/1/1 0:00:00據BeosinEagleEye安全預警與監控平臺監測顯示,2022年10月,各類安全事件數量和涉及金額較9月大幅上升.
1900/1/1 0:00:00