安全公司：MooCakeCTX项目遭受闪电贷攻击

8月5日，来自成都链安社区成员情报显示，EtnProduct项目遭受闪电贷攻击。成都链安安全团队分析发现：攻击者先利用闪电贷借入9,400个USDT，随后攻击者购买了一个NFT并把NFT挂入EtnProduct项目，由于在挂单时添加的流动性的代币数量固定，以及把凭证币发送给了调用者，攻击者再销毁凭证币套出了流动性里606,091.527的U代币，并调用UMarket项目的saleU函数把11,253.735个U代币一比一转换为USDT后归还闪电贷，总共获利约3,074美元和一个价值7,380美元的NFT，目前获利资金仍然存放于攻击者地址（0xde703797fe9219b0485fb31eda627aa182b1601e）上。后续成都链安链上资金追踪平台“链必追”将对此地址进行持续监控和追踪。

金色财经报道，据Beosin EagleEye Web3安全预警与监控平台监测显示，Journey of awakening（ATK）项目遭受闪电贷攻击。攻击者通过闪电贷攻击的方式攻击了ATK项目的策略合约（0x96bF2E6CC029363B57Ffa5984b943f825D333614），从合约中获取了大量的ATK代币。 Beosin安全团队分析发现攻击者已把全部获得的ATK代币兑换为约12万美元的BSC-USD，目前被盗资金已经在0xf2ade5950cdfb43b47fdb0a7bf87e9c84467981f地址被兑换成BNB并且全部转移到龙卷风地址，Beosin安全团队将使用Beosin Trace对被盗资金进行持续追踪。

7月25日，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，LPC项目遭受闪电贷攻击。成都链安安全团队简析如下：攻击者先利用闪电贷从Pancake借入1,353,900个LPC，随后攻击者调用LPC合约中的transfer函数向自己转账，由于 _transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD，最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC，攻击者共获利178 BNB，价值约45,715美元，目前获利资金仍然存放于攻击者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都链安“链必追”平台将对此地址进行监控和追踪。

金色财经报道，安全公司CertiK Alert发推称，SEAMAN 项目遭闪电贷攻击，开发者利用了 SEAMAN 处理 LP 存款上的 GVC 分 配方式中的一个漏洞。该漏洞使 GVC 价格下跌，攻击者共能获利约 7800 美元。 SEAMAN 合约：BSC 0x6bc9b4976ba6f8C9574326375204eE469993D038 Great Voyage Coin (GVC) 合约：BSC 0xDB95FBc5532eEb43DeEd56c8dc050c930e31017e

8月31日消息，据Beosin EagleEye平台监测显示，BSC链上Cupid代币合约遭受闪电贷攻击，Beosin安全团队分析发现，Cupid合约0x40c994299fb4449ddf471d0634738ea79c734919有一个奖励的逻辑漏洞，拥有USDT/VENUS的LP代币可以得到Cupid代币，攻击者利用闪电贷贷出USDT，购买VENUS代币，抵押后得到LP代币，把LP发到多个地址后通过调用被攻击合约的0xe98bfe1e()函数claim得到Cupid代币，获得Cupid代币后抛售获利78,623 USDT。

1月12日消息，据CertiK监测，ThreeBody项目遭受一次闪电贷攻击，被盗资金总额约为3000美元。自2021年11月以来，该项目在推特上一直不活跃，官方Telegram也被删除。 BSC合约地址为0x24c78E5ddf7576F6e0bC6BE9C4Db0FB043E34624。