安全团队：Nova代币暴跌，攻击者获利约10万美元

金色财经消息，据CertiK监测，BSC链上CUPID代币合约遭遇闪电贷攻击，CUPID代币和VENUS代币均下跌，攻击者获利78622美元。

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

9月7日消息，据CertiK预警监测，一个针对AVAX的闪电贷攻击影响了合约0xe767c和一些LP，攻击者获利约37万USDC。攻击者可能影响的协议包括Nereus Finance、Trader Joe、Curve Finance。

7月25日，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，LPC项目遭受闪电贷攻击。成都链安安全团队简析如下：攻击者先利用闪电贷从Pancake借入1,353,900个LPC，随后攻击者调用LPC合约中的transfer函数向自己转账，由于 _transfer函数中未更新账本余额，而是直接在原接收者余额recipientBalance值上进行修改，导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD，最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC，攻击者共获利178 BNB，价值约45,715美元，目前获利资金仍然存放于攻击者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都链安“链必追”平台将对此地址进行监控和追踪。

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，dForcenet合约，分别在Optimism 和 Arbitrum两条L2链上遭到了攻击。两条链上总损失约370万美元。据Beosin安全技术人员分析，原因为利用curve pool的重入漏洞，影响了Oracle的价格，通过1.借出超过抵押品价值的贷款不归还；2. 在价格被操纵的情况下清算头寸获取利润。 在Arbitrum上的攻击交易获利719,437枚dForce USD （USX） 和 1236 枚 ETH（约195万美元）。ETH还留在Arbitrum链上的地址上，USX通过跨链桥转移到Optimism链上。在Optimism链上的攻击交易获利1,037,000 USX，最后所有的USX被兑换成了1110 枚ETH（约175万美元）。Beosin Trace追踪发现目前被盗ETH还留在Optimism链上的地址上。

10月29日消息，据CertiK监测数据，LOO（LOO）项目是退出骗局，币价下跌超过97%，合约部署者获利约26.9万美元。 BSC合约为0xfDB0fE3dD8F7e9A671f63b7e7db0935A955659ab。