MetaTrust：Ethereum上合约ENF ETHLEV被攻击原因是合约的“提款”函数中存在逻辑问题

6月19日消息，Beosin Alert发推称，Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约，它没有限制从调用者转移的用于交换的资金。

金色财经报道，据CertiK官方推特发布消息称，EFVault的代理合约ENF_ETHLEV经历了一次闪电贷攻击。据悉，攻击者进行了多笔利用攻击，获利528,000美元。

金色财经报道，据PeckShield分析，Euler Finance 由于其捐赠和清算的逻辑缺陷，其在以太坊上的一系列交易中被利用（黑客交易地址），导致项目损失约1.97 亿美元。具体而言，donateToReserves 需要确保捐赠者仍然有超额抵押，清算需要确保从借款到抵押资产的“正确”转换率。此外，共有两名黑客参与了攻击：0x5F2…8B8c 和 0xBcA…7c5C。

金色财经报道，据 Web3 网络安全公司 Ancilia 报道，NFT 借贷协议 ParaSpace 被攻击的根本原因发生在合约 0xddde38696fbe5d11497d72d8801f651642d62353 的函数 scaledBalanceOf() 上，该函数用于通过 supply() 函数计算用户的抵押品。然而，通过在函数 getPooledApeByShares() 中操纵 APE 代币的数量可以使 scaledBalanceOf() 返回一个大额值。用户可以拥有大量抵押品，并使用它来借更多的资产。

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过 receiveUpPool 函数）并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。

5月14日消息，BlockSec发推称，SellToken再次遭遇攻击，根本原因是StakingRewards合约的Claim()函数没有正确验证输入参数，使得攻击者可以通过一个伪造的代币来获得更多的奖励。StakingRewards合约将其视为USDT，攻击者通过控制假代币和QiQi交易对，获得了超额奖励。