安全团队：Journey of awakening项目遭受闪电贷攻击攻击者获取大量ATK代币

7月25日，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，LPC项目遭受闪电贷攻击。成都链安安全团队简析如下：攻击者先利用闪电贷从Pancake借入1,353,900个LPC，随后攻击者调用LPC合约中的transfer函数向自己转账，由于 _transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD，最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC，攻击者共获利178 BNB，价值约45,715美元，目前获利资金仍然存放于攻击者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都链安“链必追”平台将对此地址进行监控和追踪。

金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示， MooCakeCTX遭到闪电贷攻击，攻击者地址0x35700c4a7bd65048f01d6675f09d15771c0facd5，被攻击合约0x489afbAED0Ea796712c9A6d366C16CA3876D8184,攻击者获利约143921美元。攻击交易0x03d363462519029cf9a544d44046cad0c7e64c5fb1f2adf5dd5438a9a0d2ec8e，Beosin Trace追踪发现被盗资金正在逐步向多个地址转移。

8月5日，来自成都链安社区成员情报显示，EtnProduct项目遭受闪电贷攻击。成都链安安全团队分析发现：攻击者先利用闪电贷借入9,400个USDT，随后攻击者购买了一个NFT并把NFT挂入EtnProduct项目，由于在挂单时添加的流动性的代币数量固定，以及把凭证币发送给了调用者，攻击者再销毁凭证币套出了流动性里606,091.527的U代币，并调用UMarket项目的saleU函数把11,253.735个U代币一比一转换为USDT后归还闪电贷，总共获利约3,074美元和一个价值7,380美元的NFT，目前获利资金仍然存放于攻击者地址（0xde703797fe9219b0485fb31eda627aa182b1601e）上。后续成都链安链上资金追踪平台“链必追”将对此地址进行持续监控和追踪。

据官方消息，HyperLab安全团队监测到新生代公链AVAX上的项目Nereus Finance遭受到到闪电贷攻击。 攻击者合约地址为：0x16b94C6358FE622241d055811d829281836E49d6 攻击交易地址为：0x0ab12913f9232b27b0664cd2d50e482ad6aa896aeb811b53081712f42d54c026 攻击者利用经典的闪电贷攻击模式即闪电贷->偏斜储备->假LP代币定价->偿还闪电贷获利了大概约37万USDC。 据调查，导致此次攻击的原因是由Nereus Finance维护的Abracadabra代码的未授权克隆@0xEdwardo。HyperLab安全团队会实时跟进此次事件的动态和持续报道后续分析。

9月7日消息，据CertiK预警监测，一个针对AVAX的闪电贷攻击影响了合约0xe767c和一些LP，攻击者获利约37万USDC。攻击者可能影响的协议包括Nereus Finance、Trader Joe、Curve Finance。

金色财经消息，据CertiK监测，BSC链上CUPID代币合约遭遇闪电贷攻击，CUPID代币和VENUS代币均下跌，攻击者获利78622美元。