USD:安全公司：DEUS Finance遭受攻擊的原因是使用了不安全的預言機來計算LP價格

慢霧安全團隊對今日DEUSFinanceDAO遭受的閃電貸攻擊原理進行了分析：1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

安全公司：BNBChian的MevBot被利用，損失約9.6萬美元:7月4日消息，據Web3網絡安全公司Ancilia監測，BNBChian的MevBot被利用，損失約9.6萬美元，黑客為0x0070開頭地址。[2023/7/4 22:17:24]

本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考AlphaFinance關于獲取公平LP價格的方法。

Web3安全公司Dfns聘請首席技術官和銷售副總裁:金色財經報道，Web3錢包基礎設施和安全公司Dfns宣布任命新首席技術官Noah Cornwell和業務開發和銷售副總裁John Conneely，以指導持續擴張公司。首席技術官 Noah Cornwell 加入 Dfns 之前，他在加密貨幣交易所和托管公司 Gemini 工作了近七年，并擔任工程副總裁。

John Conneely 在 Genesis 和 Bakkt 等領先區塊鏈和加密貨幣公司擁有五年指導機構托管產品增長的經驗。[2023/7/1 22:11:38]

此前消息，DEUSFinance遭到閃電貸攻擊，損失約1700萬美元，攻擊者錢包已將5446枚ETH分批轉入TornadoCash。

安全公司：CoFiXProtocol項目遭受價格操控攻擊，攻擊者獲利約14萬美元:據成都鏈安安全輿情監控數據顯示，CoFiXProtocol項目遭受價格操控攻擊。成都鏈安安全團隊對此次攻擊事件分析后，發現攻擊者先從先閃電貸借出大量BSC-USD，再用BSC-USD兌換出DCU。然后攻擊者通過利用Router合約的swapExactTokensForTokens沒有校驗to地址是否是msg.sender的漏洞，將對Router合約有大額授權的to地址中的BSC-USD經過BSC-USD -> DCU -> PRC的兌換路徑兌換為RPC，導致LP中DCU的價格升高，最后通過前面兌換的DCU重新高價兌換成BSC-USD從而獲利。目前攻擊者實施了三次攻擊，總計獲利約145,491 BSC-USD（價值14萬美元），已經兌換為BUSD并轉移到攻擊者的其他地址（0x5443...d7D6）中 。對此，成都鏈安安全團隊建議用戶在對合約授權時按需授權，授權值不要超過本次需要轉移的代幣的數量，避免因為過多授權造成意外損失。[2022/6/2 3:57:41]

Tags：USDDEISDCSOLRUSDDEIP ProtocolCUSDC幣Marinade staked SOL

Gate.io