Beosin:JPEG'd 遭受攻击原因为重入攻击

2023-07-30 22:32:21

金色财经报道,据Beosin安全团队分析,JPEG'd 项目遭遇攻击的根本原因在于重入,攻击者在调用remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。 此前报道,JPEG'd项目遭遇攻击,损失至少约1000万美元。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
17:22
Beosin:Stars Arena遭受黑客攻击原因疑似为重入攻击
金色财经报道,据Beosin EagleEye监测显示,Stars Arena遭受到黑客攻击,损失约300万美元。Beosin安全团队分析发现,由于合约没开源,疑似存在重入漏洞。攻击者在调用0xe9ccf3a3函数过程中,重入调用0x5632b2e4函数,设置了高度,而在sellShares函数中,使用了这些高度作为发送AVAX数量的计算参数,使得计算的数据异常大。最终攻击者获得大量收益。Beosin Trace正在对被盗资金进行追踪。
17:47
Beosin:SEAMAN合约遭受漏洞攻击简析
金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。 攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。
20:32
Beosin:sDAO项目遭受攻击事件简析
金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的sDAO项目遭受漏洞攻击,Beosin分析发现由于sDAO合约的业务逻辑错误导致,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚USD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。
10:19
Beosin:SheepFarm项目遭受攻击事件简析
金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。
10:39
Beosin EagleEye: Socket协议遭受攻击者原因是call注入攻击,损失超300万美元
金色财经报道,据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Socket协议遭受攻击者call注入攻击,导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。 该函数功能是调用者可以将WETH兑换为ETH,并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH,否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数,但是项目方未考虑到调用者转入的WETH数量为0的情况,导致调用者可以在call中去调用其他指定函数,并且能通过余额检查。 攻击者通过构造calldata,调用任意代币的transferfrom,将其他用户授权给该合约的代币转移到攻击者地址。目前攻击者将被盗资金兑换为ETH,并保存在攻击者地址上,Beosin将对资金进行持续监控。
14:09
CertiK:Parallel Finance遭受重入攻击损失约200万美元
7月11日消息,CertiK安全团队监测到DeFi平台Parallel Finance遭受重入攻击,导致了约200万美元的损失。 此次事件中攻击者使用大量的Doodle NFT借入WETH,CertiK分析如下:黑客利用三起单独的闪电贷进行了攻击。合约中的重入漏洞导致智能合约认为没有需要偿还的借款,因此攻击者可以在不偿还任何WETH的情况下提取NFT。攻击者多次重复该步骤后将资金转移至Tornado Cash,通过使用混淆工具阻断资金追踪。 该项目在此前已接受过慢雾的智能合约审计,但​该漏洞并未被检测出。目前Parallel Finance正在接受CertiK的第二次审计,但黑客已完成攻击,此时的审计为时已晚​。 截至发稿时,Parallel Finance还未对本次攻击事件​作出声明或回应。
Copyright © 2018-2022 211COIN版权所有.