FTX:安全團隊：EGD Finance遭閃電貸攻擊，因計算獎勵的喂價機制過于簡單

據慢霧區消息，BSC上的EGDFinance項目遭受黑客攻擊，導致其池子中資金被非預期的取出。慢霧安全團隊對此進行了分析，稱本次事件是因為EGDFinance的合約獲取獎勵時計算獎勵的喂價機制過于簡單,導致代幣價格被閃電貸操控從而獲利。具體分析如下：

安全團隊：MetaPoint（POT）宣布因遭黑客攻擊而暫停運營:金色財經報道，據CertiK監測，MetaPoint(POT)項目在其Telegram宣布因遭到黑客攻擊而暫停運營，其幣價已下跌78%以上。

BSC合約地址：0x3b5e381130673f794a5cf67fbba48688386bea86[2023/4/12 13:58:13]

1.由于EGDFinance合約中獲取獎勵的claimAllReward函數在計算獎勵時會調用getEGDPrice函數來進行計算EGD的價格,而getEGDPrice函數在計算時僅通過pair里的EGD和USDT的余額進行相除來計算EGD的價格。2.攻擊者利用這個點先閃電貸借出池子里大量的USDT,使得EGD代幣的價格通過計算后變的很小,因此在調用claimAllReward函數獲取獎勵的時候會導致獎勵被計算的更多,從而導致池子中的EGD代幣被非預期取出。

安全團隊：FTX交易所遭到gas竊取攻擊事件技術分析:10月13日消息，據Beosin EagleEye Web3安全預警與監控平臺的輿情消息，FTX交易所遭到gas竊取攻擊，黑客利用FTX支付的gas費用鑄造了大量XEN TOKEN。Beosin安全團隊第一時間對事件進行了分析，結果如下：

1.以其中一筆攻擊交易為例

(0x8eb73bd5c08318a4cfd233940c3a58744830cda999e59ecbc56f094618a91d69)，攻擊者先在鏈上部署攻擊合約(0xCba9b1Fd69626932c704DAc4CB58c29244A47FD3)

2.FTX熱錢包地址會向攻擊合約地址轉入小額的資金，利用攻擊合約(0xCba9...7FD3)進行批量創建子合約。由于整個攻擊中創建了大量合約，并且每次執行完子合約之后，子合約都會自毀。

3.接下來子合約fallback()函數去向Xen合約發起鑄幣請求，如下函數，claimRank()函數傳入一個時間期限（最小1天）進行鑄幣，鑄幣條件是只用支付調用gas費，并無其他成本，并且claimMintReward()函數為提取函數，該函數只判斷是否達到時間期限（本次黑客設置的時間期限為最小值1天），便可無條件提取。但在此次調用過程中，交易發起者為FTX熱錢包地址，所以整個調用過程的gas都是由FTX熱錢包地址所支付，而Xen鑄幣地址為攻擊者地址。

4. 1-3中的步驟，重復多次，并且每次重復過程中都會將已到期的代幣提取出來，并且同時發起新的鑄幣請求。

截止發文時，通過Beosin Trace追蹤發現，FTX交易所損失81ETH，黑客通過DODO，Uniswap將XEN Token換成ETH轉移。[2022/10/13 14:26:15]

此外，據派盾預警監測，此次攻擊事件中已有3.6萬BUSD被盜。

安全團隊：pancake-super[.]com、pancake-vr[.]com是釣魚網站:金色財經報道，PeckShield在社交媒體上稱，檢測到pancake-super[.]com、pancake-vr[.]com 是釣魚網站。它們都與0xF04B869F75680AB53C5965e6705E110dab5Db1A1有關。[2022/7/15 2:15:53]

Tags：FTXANCGASCLAIMPunk Vault (NFTX)Apple Financeugas幣最新資訊claim幣圈什么意思

以太坊