BlockSec：0x8b开头地址被攻击损失4481.3枚WBNB

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，BRA代币被攻击，交易哈希：0x6759db55a4edec4f6bedb5691fc42cf024be3a1a534ddcc7edd471ef205d4047与0x4e5b2efa90c62f2b62925ebd7c10c953dc73c710ef06695eac3f36fe0f6b9348。据Beosin安全技术人员分析，该攻击是由BRA合约的逻辑漏洞所导致，BRA转移过程中如果调用方或接收方为pair，则会产生奖励。此处，攻击者直接转移部分BRA代币给0x8F4BA1交易pair合约，并调用pair的skim函数，该函数会将多余供应量的BRA代币发送给指定地址，此处攻击者设置本pair为接收地址，BRA又重新回到pair，导致经过一次skim，pair的BRA代币就会增加（奖励部分），多次skim后，pair中已经存在大量BRA代币。最后，攻击者通过pair的闪电贷功能，将UBST借贷出来，由于BRA代币异常多，所以pair在闪电贷最后判断余额的时候，就算UBST少了，也能通过检查（类似于乘积恒定的方式）。目前被盗资金全部存在攻击者地址（0xE2Ba15be8C6Fb0d7C1F7bEA9106eb8232248FB8B），Beosin Trace将持续对被盗资金进行监控。

12月29日消息，据 BlockSec 监测，项目 @jaypeggerz 遭攻击损失约 15.32 ETH（约 1.8 万美元）。BlockSec 称这是一种成功操纵 JAY 代币价格的合约级重入攻击。JAY 合约允许用户为 buyJay 函数传递任意 ERC-721 代币。攻击者利用该漏洞重新进入 JAY 合约。具体来说，攻击者先借入 72.5 ETH 进行闪贷，然后用 22 ETH 购买 JAY 代币。然后他使用另外 50.5 ETH 调用 buyJay 函数，传递假的 ERC-721 代币。在伪造的 ERC-721 代币的 transferFrom 函数中，攻击者通过调用 sell 函数重新进入 JAY 合约，卖出所有 JAY 代币。由于以太坊余额在 buyJay 功能开始时有所增加，因此 JAY 代币价格受到操纵。攻击者在单笔交易中重复该过程两次，总利润为 15.32 ETH。攻击利润已转入 Tornado Cash。

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，SushiSwap项目疑似被攻击，损失约1800ETH，约334万美元，Beosin安全团队正在对本次事件进行分析。

金色财经报道，据派盾PeckShield数据监测，DFX Finance DEX池由于缺乏适当的重入保护疑似被攻击，损失约3000ETH，约合400万美元。目前被盗资金已存入Tornado Cash。

金色财经报道，据CertiK Skynet监测，Mango遭黑客攻击事件分析，首先攻击者向第一个账户（CQvKSNnY...）注资500万美元，并做空4.83亿单位的MNGO perps。 之后攻击者向第二个账户（4ND8FVPjU...）注资，然后以每单位0.0382美元的价格做多了4.83亿单位的MNGO perps。攻击者通过操纵价格预言机上MNGO的价格，将MNGO价格拉高，从而在第二个账户上获利。之后攻击者用第二个账户在Mango上借取其他代币。 随后将Mango上的流动性资金全部转出。Mango损失总计约1.16亿美元。

1月18日消息，BlockSec监测显示，NFT全栈B2B B2C服务供应商Quaternion因QTN代币开发者使用错误条件而被黑客攻击，损失约2.546枚WETH。QTN代币具有通货膨胀机制，随着QTN在Uniswap中的交易增多，QTN的总量也会随之增加。但是，QTN的开发者使用from == UniswapPair来判断是否有QTN出售，这一错误条件是导致此攻击的根本原因。BlockSec提醒注意，黑客的资金来源似乎来自BSC上的Ankr Exploiter。