Loopring：部分智能钱包遭漏洞攻击，正与执法部门和安全团队合作追查攻击者

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

金色财经报道，Web3游戏平台Gala Games联合创始人推特发文称，平台遭黑客攻击，导致6亿枚GALA代币(2100万美元)未经授权销售和44亿美元代币被销毁。我们发现了漏洞，并在45分钟内删除了对GALA合约的未经授权访问。 值得注意的是，我们的GALA以太坊合约是安全的，并受到多重签名钱包的保护。 我们搞砸了内部控制，团队正在采取措施确保它不会再发生。我们相信已经找到了攻击者，目前我们正在与美国联邦调查局、美国司法部以及一些国际机构合作。

金色财经报道，以太坊 Layer 2 协议 Loopring 在社交媒体上发文表示，正在与慢雾以及其他一些安全专家和相关机构合作，继续调查智能钱包遭遇安全漏洞攻击事件。一旦有更多信息可以分享，Loopring 将向社区更新。安全和用户保护仍然是 Loopring 的首要任务。 金色财经此前报道，Loopring 表示，部分智能钱包遭漏洞攻击，正与执法部门和安全团队合作追查攻击者。

金色财经报道，Kyber Network首席执行官在社交媒体上称，漏洞利用攻击已经过去几天了，我终于有时间和带宽进行交流。我仍然全力以赴，与团队一起尽我所能，支持将袭击者绳之以法的努力。我将尽一切努力支持执法和网络安全部门追查攻击者并追回用户资金，以最大程度地减少用户因攻击而遭受的损失。从现在开始，支持追踪攻击者并追回用户资金是我的首要任务，并且将继续如此，直到每个用户都得到康复。Aggregator API、Zap 即服务和 LO API 是该领域的关键技术，我们将继续最大限度地发挥它们的潜力。不幸的是，Kyber Elastic 将不再运行。我知道资金回收是目前所有用户最关心的问题，我希望每个人都知道我在这里，坚定不移地致力于这一事业。认识我的人都知道，我不会放弃，也不会停止支持所有用户资金追回的努力。

金色财经报道，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DexFinance 项目遭到攻击，攻击者获利约 231,138 美元。

11月13日消息，抵押稳定币协议 Raft 发布 11 月 11 日安全事件分析和恢复计划，Raft 正在与执法部门、中心化交易所和其他各方合作，以查明攻击者的身份，并且正在制定详细的恢复计划，以尽可能公平的方式补偿所有受该事件影响的用户。攻击主要原因是铸造份额代币时的精度计算问题，这使得利用者能够获得额外的份额代币。 金色财经此前报道，11 月 11 日 Raft 协议经历了一次复杂的安全事件，导致约 670 万美元未受支持的 R 被铸造。黑客随后出售了 R，影响了 R 的价格。