安全团队：Multichain的Anyswap V4 Router合约遭遇抢跑攻击，攻击者获利约13万美元

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年2月15日，攻击者利用MEV合约(0xd050)在正常的交易执行之前(用户授权了WETH但是还未进行转账)抢先调用了AnyswapV4Router合约的anySwapOutUnderlyingWithPermit函数进行签名授权转账，虽然函数利用了代币的permit签名校验，但是本次被盗的WETH却并没有相关签名校验函数，仅仅触发了一个fallback中的deposit函数。在后续的函数调用中攻击者就能够无需签名校验直接利用safeTransferFrom函数将_underlying地址授权给被攻击合约的WETH转移到攻击合约之中。攻击者获利约87个以太坊，约13万美元，Beosin Trace追踪发现目前被盗资金有约70个以太坊进入了0x690b地址，还有约17个以太坊还留在MEVBOT的合约中。

交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f

安全团队：2022年12月攻击损失较11月下降约88%:金色财经报道，据Beosin?EagleEye监测显示，2022年12月，各类安全事件数量和涉及金额较11月大幅下降。12月发生较典型安全事件超19起，各类攻击事件损失总金额约6260万美元，较11月下降约88%。12月私钥泄露事件依旧频发，其中部分私钥疑似因为木马攻击或供应链攻击导致泄露，建议各项目方重视传统安全，从各方面做好Web3项目的安全防护。[2023/1/3 22:23:12]

安全团队：ether-merges[.]org是钓鱼网站:金色财经报道，据派盾（PeckShield）监测，似乎经过认证的Twitter帐户@MahipalMahla被入侵，并被用来分享指向欺诈性的链接。ether-merges[.]org为钓鱼网站。注意警惕。[2022/10/14 14:27:36]

安全团队：Flurry Finance攻击事件利用了RhoToken代币的rebase机制:4月25日消息，Cobo区块链安全团队就Flurry Finance攻击事件进行了分析，发现此次攻击与经典的闪电贷操纵预言机的攻击手段不同，而是利用了Flurry Finance中RhoToken代币的rebase机制。漏洞的本质原因在于协议对RhoToken进行rebase时计算multiplier的公式中依赖于外部可控的数据（Bank中的token数量）。从而使攻击者通过闪电贷的方式实现了对multiplier的操纵，进而获利。虽然本次攻击中使用到了伪造ERC20重写approve方法再利用Rabbit Finance的StrategyLiquidate合约来执行任意代码的技巧，但这个技巧涉及到的合约代码本身其实并不存在安全问题。Cobo区块链安全团队提醒，开发者在进行项目开发时需要特别注意合约在计算资产数量、价格时是否有依赖外部某些可能被恶意操纵的数据。闪电贷操纵预言机的典型攻击模式其实也是项目中依赖于DEX池内代币价格进行了内部某些关键指标的计算导致的。

此前消息，2月22日，BSC链上的Flurry Finance遭到闪电贷攻击，导致协议中Vault合约中价值数十万美元的资产被盗。[2022/4/25 14:46:47]

相关资讯