Beosin EagleEye: Socket协议遭受攻击者原因是call注入攻击,损失超300万美元

2024-01-17 10:39:34

金色财经报道,据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Socket协议遭受攻击者call注入攻击,导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。 该函数功能是调用者可以将WETH兑换为ETH,并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH,否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数,但是项目方未考虑到调用者转入的WETH数量为0的情况,导致调用者可以在call中去调用其他指定函数,并且能通过余额检查。 攻击者通过构造calldata,调用任意代币的transferfrom,将其他用户授权给该合约的代币转移到攻击者地址。目前攻击者将被盗资金兑换为ETH,并保存在攻击者地址上,Beosin将对资金进行持续监控。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
10:59
Beosin:Paraluni遭受价格操控攻击,损失超33.6万美元
金色财经报道,据Beosin旗下Beosin EagleEye监测显示,攻击者利用Paraluni协议价格操控漏洞,从合约中获利约33.6万美元。 据此前消息,Web3安全平台Ancilia在推特发文称,币安智能链上元宇宙项目Paraluni正在遭遇价格操纵攻击,攻击者利用价格操纵放大抵押品的价值,从而借出更多的资金,导致项目损失。
23:39
Beosin:LI.FI攻击者利用项目合约的call注入将授权给合约的用户资产转走
金色财经报道,据Beosin Alert监控预警发现,跨链协议LI.FI遭受攻击,Beosin安全团队发现漏洞原因是攻击者利用项目合约的call注入将授权给合约的用户资产转移走。LI.FI项目合约存在一个depositToGasZipERC20函数,可将指定代币兑换为平台币并存入GasZip合约,但是在兑换逻辑处的代码未对call调用的数据进行限制,导致攻击者可利用此函数进行call注入攻击,提取走给合约授权用户的资产。 攻击者地址:0x8B....DcF3。被攻击合约:0x1231....F4EaE。
09:29
Beosin :LI.FI遭受攻击事件损失1000万美元资金分析
金色财经报道,据Beosin Alert监控预警发现,跨链协议LI.FI遭受攻击,主要是攻击者利用项目合约的call注入将授权给合约的用户资产转移走,Beosin Trace对被盗资金进行追踪发现,损失金额包括633.59万USDT、319.19万USDC、16.95万DAI,约1000万美元。攻击发生在ETH以及Arbitrum这两条链上,目前大部分资金转为ETH暂无新的动向,Beosin 已将黑客相关地址加入KYT黑地址库,后续将持续保持追踪关注。
18:03
Beosin: Exactly Protocol遭受攻击事件至少损失约700万美元
金色财经报道,根Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Optimism链上Exactly Protocol项目遭受攻击,Beosin Trace追踪发现本次事件损失至少约700万美元,Beosin安全团队提醒用户注意资金安全。
10:05
Beosin:jimbos protocol 项目疑似遭受攻击,累计损失约750万美元
金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月28日,jimbos protocol项目疑似遭受攻击,目前被盗资金已经通过跨链协议转移到以太坊上的0x5f3591e2921d5c9291f5b224e909ab978a22ba7e地址,到目前该笔资金仍存放在该地址上,Beosin Trace将持续关注资金走向。
10:01
Beosin:WooPPV2合约遭受价格操控攻击损失约850万美元事件简析
金色财经报道,据Beosin Trace资金分析平台显示,Arbitrum链上的WooPPV2合约项目受到价格操控攻击,造成约850万美元的损失。黑客利用闪电贷借出USDC.e和Woo代币,然后通过WooPPV2合约进行频繁的代币兑换。由于WooPPV2合约的价格计算存在缺陷,黑客能够操控兑换过程中的价格,导致大量Woo代币被盗。目前,该合约已暂停,Beosin Trace将继续监测被盗资金的动向。
Copyright © 2018-2022 211COIN版权所有.