据Supremacy安全团队监测,今日DEX聚合平台ParaSwap合约部署者地址在多个链上发起异常交易,将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。
安全团队:DeFi 借贷协议 Sentiment 大部分被盗资金仍在攻击者地址:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年4月5日,
DeFi借贷协议sentiment协议遭到攻击,损失约1百万美元,Beosin Trace追踪发现已有0.5WBTC、30个WETH、538,399USDC和360,000USDT被盗,目前,大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。
攻击交易:https://arbiscan.io/tx/0xa9ff2b587e2741575daf893864710a5cbb44bb64ccdc487a100fa20741e0f74d
Beosin安全团队现将分析结果分享如下:
1.攻击者首先调用Balancer Vault的“joinPool”函数进行质押。
2.然后再调用“exitPool”取回质押,在这个过程中,Balancer Vault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中,攻击者调用0x62c5合约的borrow函数,该过程需要根据Balancer Vault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的\"exitPool\"过程中,pool中总供应量已经减少而数据还没有更新,攻击者利用这个数据错误从而多借出资产达成获利。
攻击者收到消息,如果在4月6日8点(UTC)前归还资产,会获得95000美元奖励,并不会被追究。[2023/4/5 13:45:50]
经过分析,该地址为Profanity漏洞利用者地址,其历史记录中有窃取多个靓号地址资产的痕迹。经过排查,目前只有ParaSwap部署者地址自身资产遭到窃取,暂不影响ParaSwap多签金库(签名阈值为2),但不排除其他多签地址也由Profanity生成,所以多签金库也可能存在风险。
安全团队:“ustbonus.com”是钓鱼网站,已有虚假USDT转入多个EOA账户:金色财经报道,安全团队CertiK预警监测显示,某EOA账户地址将伪造的USDT转入到多个EOA钱包,并且交易被伪装成由Tether官方合约发起。CertiK称,与之相关的网站“ustbonus.com”是钓鱼网站,请用户不要与该网站进行交互。[2022/11/25 20:45:32]
目前Supremacy团队已联系ParaSwap官方传达信息,并呼吁大家即时将及时更换由Profanity生成的地址,针对Profanity地址的攻击仍在持续进行。
安全团队:发现一虚假审计网站:据CertiK官方推特表示,社区成员正就虚假审计网站与他们联系,CertiK官方表示与“https :// manapool-eth[.]net/ ”没有任何关系,希望用户认准certik.com网址,保持警惕。[2022/9/12 13:24:08]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。