Web3音乐项目Melody遭黑客攻击漏洞现已修复

9月20日消息，据官方推特，基于Cosmos SDK开发的全链式DEX Sifchain暂停网络的维护升级与运行，表示在链上升级激活杠杆交易后，出现了用户增加流动性和移除资产的异常活动。 目前，该漏洞的影响已得到控制，部分获得额外资产的用户表示希望返还资金，工程团队现已确定重新启用网络和DEX的修复计划，且正在进行测试，此外，Engineering正在对相关交易和钱包进行分析。

金色财经报道，Arbitrum生态链游Trident的Discord今日晚间曾一度遭黑客攻击，现已恢复正常。 Trident表示，虽然似乎没有用户受到损失，但受黑客攻击影响Discord内丢失了大量记录。Trident将在本周的某个未知时刻向经受了该事件的社区用户分发POAP纪念，届时审领窗口将仅开放三个小时。

9月9日消息，零知识证明研发机构StarkWare发推称，其扩容引擎StarkEx V4.5被Vlad Bochok（Matter Labs工程师）和Ihor Barenblat指出存在漏洞，在运营者控制的条件下，该漏洞可使用户能够从一个冻结系统的Vault中双花。不过，目前该漏洞已被修复。

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

9月4日消息，据链上分析师@NFTherder披露，Rug Pull Finder最新推出的NFT项目“BadGuys”在免费铸造期间遭到漏洞利用攻击，两名用户利用其NFT合约漏洞铸造了450枚NFT，而不是按照最初设定的每个钱包仅能分配1枚NFT。 Rug Pull Finder本身是一家专注于识别和报告Web3欺诈行为的公司，据悉这次漏洞或因为“mint”函数缺少所需的安全检查导致，该团队已在社交媒体上做出道歉并称将支付2.5ETH赏金来回购多铸造的NFT。（NFTEvening）

金色财经报道，Robinhood 的 Twitter 账户在周三早些时候遭到黑客攻击，并被用来宣传一个欺诈性的加密项目。黑客宣布推出一种名为 $RBH 的新代币，他们表示该代币在币安智能链上的售价为 0.0005 美元。 根据Blockchain explorer的数据，在链接被删除之前，大约有 10 人购买了骗局代币。购买的总金额不到 1,000 美元。根据Chainanalysis的一份报告，加密货币黑客攻击在 2022 年迅速加速，全年总资金损失总额超过 30 亿美元。