安全机构：BSC链上Cupid代币合约遭受闪电贷攻击分析

金色财经消息，据CertiK监测，BSC链上CUPID代币合约遭遇闪电贷攻击，CUPID代币和VENUS代币均下跌，攻击者获利78622美元。

金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示， MooCakeCTX遭到闪电贷攻击，攻击者地址0x35700c4a7bd65048f01d6675f09d15771c0facd5，被攻击合约0x489afbAED0Ea796712c9A6d366C16CA3876D8184,攻击者获利约143921美元。攻击交易0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e，Beosin Trace追踪发现被盗资金正在逐步向多个地址转移。

金色财经报道，据Beosin EagleEye Web3安全预警与监控平台监测显示，Journey of awakening（ATK）项目遭受闪电贷攻击。攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约（0x96bF2E6CC029363B57Ffa5984b943f825D333614），从合约中获取了大量的ATK代币。 Beosin安全团队分析发现攻击者已把全部获得的ATK代币兑换为约12万美元的BSC-USD，目前被盗资金已经在0xf2ade5950cdfb43b47fdb0a7bf87e9c84467981f地址被兑换成BNB并且全部转移到龙卷风地址，Beosin安全团队将使用Beosin Trace对被盗资金进行持续追踪。

8月5日，来自成都链安社区成员情报显示，EtnProduct项目遭受闪电贷攻击。成都链安安全团队分析发现：攻击者先利用闪电贷借入9,400个USDT，随后攻击者购买了一个NFT并把NFT挂入EtnProduct项目，由于在挂单时添加的流动性的代币数量固定，以及把凭证币发送给了调用者，攻击者再销毁凭证币套出了流动性里606,091.527的U代币，并调用UMarket项目的saleU函数把11,253.735个U代币一比一转换为USDT后归还闪电贷，总共获利约3,074美元和一个价值7,380美元的NFT，目前获利资金仍然存放于攻击者地址（0xde703797fe9219b0485fb31eda627aa182b1601e）上。后续成都链安链上资金追踪平台“链必追”将对此地址进行持续监控和追踪。

据Beosin EagleEye平台监测显示，DPC代币合约遭受黑客攻击，损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备，然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币，再抵押LP代币在代币合约中。前面的准备，是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”，导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop 函数提取出奖励（DPC代币），换成Udst离场。目前被盗资金还存放在攻击者地址，Beosin安全团队将持续跟踪。

据官方消息，HyperLab安全团队监测到新生代公链AVAX上的项目Nereus Finance遭受到到闪电贷攻击。 攻击者合约地址为：0x16b94C6358FE622241d055811d829281836E49d6 攻击交易地址为：0x0ab12913f9232b27b0664cd2d50e482ad6aa896aeb811b53081712f42d54c026 攻击者利用经典的闪电贷攻击模式即闪电贷->偏斜储备->假LP代币定价->偿还闪电贷获利了大概约37万USDC。 据调查，导致此次攻击的原因是由Nereus Finance维护的Abracadabra代码的未授权克隆@0xEdwardo。HyperLab安全团队会实时跟进此次事件的动态和持续报道后续分析。