Tornado.Cash遭治理攻击，攻击者已提取出售约1万枚TORN

金色财经报道，据推特用户余烬监测，Tornado.Cash从Tornado.Cash金库一共获得了483,000枚TORN。目前6,000TORN存入Bitrue；379,300枚TORN链上抛售换成375枚ETH，卖出均价1.8美元；还有97,700枚TORN尚未抛售/转出。

金色财经报道，根据 EtherScan数据，Tornado Cash治理攻击者在发稿前大约一个半小时进行了两笔交易。一笔100 ETH 的交易被发送到 Tornado Cash 路由器，该路由器用于该服务的资金混淆过程。另一笔交易包含 38,302.57 TORN，这是 DAO 的治理代币。 金色财经此前报道，在本周末恶意治理提案通过后，攻击者接管了 DAO。匿名安全研究员 Samczsun 报告说，攻击者利用该漏洞获得了治理控制权，但 Tornado Cash 中持有的大部分资金都不会被盗。

金色财经报道，安全公司CertiK Alert发推称，SEAMAN 项目遭闪电贷攻击，开发者利用了 SEAMAN 处理 LP 存款上的 GVC 分 配方式中的一个漏洞。该漏洞使 GVC 价格下跌，攻击者共能获利约 7800 美元。 SEAMAN 合约：BSC 0x6bc9b4976ba6f8C9574326375204eE469993D038 Great Voyage Coin (GVC) 合约：BSC 0xDB95FBc5532eEb43DeEd56c8dc050c930e31017e

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

金色财经报道，据推特用户余烬监测，龙卷风治理攻击者从龙卷风治理金库一共获得了 483,000枚TORN 。目前6,000 TORN 存入Bitrue；379,300枚TORN链上抛售换成375枚ETH，卖出均价1.8美元；还有 97,700枚TORN 尚未抛售/转出。

金色财经报道，据Cyvers Alerts系统监测，去年11月波兰交易所成为安全漏洞的受害者，损失了大约1.25亿美元的热钱包，今天，黑客将1126枚ETH（340万美元）存入Tornado.cash