据BeosinEagleEye安全预警与监控平台监测显示,2022年10月,各类安全事件数量和涉及金额较9月大幅上升。10月发生较典型安全事件超25起,其中攻击类安全事件损失总金额约9亿8104万美元,约为9月损失金额的5.97倍。10月为2022年以来区块链领域损失金额最高的一个月。根据Beosin安全团队统计,本月DeFi领域攻击事件频发,共发生11起单次损失金额超100万美元的事件,其中包括两起损失过亿的安全事件。本月BNBChain官方跨链桥攻击事件涉及金额巨大,钱包安全在本月也是值得关注的重点,共发生3起典型安全事件。和上月相比,本月被攻击的项目类型更加多样化,建议各种类型的项目方都应做好安全防护工作。本月钱包安全事件和私钥泄露事件有所增加,建议项目方和用户都应注重签名服务的安全性,保护好私钥,规范操作,谨慎使用第三方工具或组件,不要点击来路不明的链接。本月依旧有60%的攻击事件来自合约漏洞利用,建议项目上线前寻求专业的公司进行安全审计。
Beosin:Themis Protocol被攻击事件分析:据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年6月28日DeFi借贷协议Themis Protocol遭到攻击,攻击者获利约37万美元,Beosin Trace追踪发现已有130,471个USDC、58,824个USDT和94个ETH被盗,目前,被盗资金被转移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻击的原因在于预言机实现存在问题,导致预言机被操纵。
攻击交易为:0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻击的核心是攻击者在借款前,用大量WETH兑换wstETH,使得预言机获取价格时被操纵,导致攻击者仅用55WETH借出317WETH。
如图,在getAssetPrice函数调用Balancer: Vault.getPoolTokens函数时,wstETH与ETH数量从正常的2,423 : 2,796被操纵为0.238 : 42,520.从而操纵了预言机。[2023/6/28 22:05:01]
Beosin:攻击者利用多签钱包执行了修改TradingHelper合约的router地址的交易:2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。
Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。[2023/2/21 12:19:54]
Beosin:BonqDAO攻击者通过操纵ALBT价格并铸造大量BEUR代币获利:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年2月2日, 加密协议BonqDAO和AllianceBlock遭到价格操控攻击,Beosin安全团队分析发现,攻击原因为攻击者提高了 ALBT 价格并铸造了大量 BEUR代币,然后在 Uniswap 上将 BEUR 换成其他代币,然后ALBT价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算,造成损失约 8800 万美元,Beosin Trace追踪发现目前大部分获利资金仍在黑客钱包(0x34483cfc1ea7e59d42a04096f56cd5517bb66b44)。目前AllianceBlock 和 Bonq 团队,包括所有相关合作伙伴,现在正在消除流动性并停止所有交易所交易。同时,暂停了 AllianceBlock Bridge 上的所有活动。[2023/2/2 11:42:51]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。