安全公司：上周发生的15起安全事件造成约550万美元的损失

金色财经报道，据CertiK官方推特发布消息称，自上周五以来，记录了15起安全事件，造成约550万美元的损失。到目前为止，共发生17起Discord黑客攻击事件、16起网络钓鱼攻击事件和2起Twitter黑客攻击事件。

Beosin：sDAO项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的sDAO项目遭受漏洞攻击，Beosin分析发现由于sDAO合约的业务逻辑错误导致，getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的，计算的奖励与用户添加LP代币数量正相关，与合约拥有总LP代币数量负相关，但合约提供了一个withdrawTeam的方法，可以将合约拥有的BNB以及指定代币全部发送给合约指定地址，该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后，调用withdrawTeam函数将LP代币全部发送给了指定地址，并立刻又向合约转了一个极小数量的LP代币，导致攻击者在随后调用getReward获取奖励的时候，使用的合约拥有总LP代币数量是一个极小的值，使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/21 7:53:09]

Beosin：Rabby项目遭受黑客攻击，涉及金额约20万美元:金色财经报道，据Beosin EagleEye Web3安全预警与监控平台监测显示，Rabby项目遭受黑客攻击。因为RabbyRouter的_swap函数存在外部调用,任意人都可以调用该函数，转走授权该合约用户的资金。目前攻击者已在Ethereum，BSC链，polygon，avax，Fantom，optimistic，Arbitrum发起攻击，请用户取消对相应合约的授权。以下是存在问题的合约：

Bsc合约地址:0xf756a77e74954c89351c12da24c84d3c206e5355、

Ethereum合约地址：0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1、

optimistic合约地址：0xda10009cbd5d07dd0cecc66161fc93d7c9000da1、

avax合约地址：0x509f49ad29d52bfaacac73245ee72c59171346a8、

Fantom合约地址：0x3422656fb4bb0c6b43b4bf65ea174d5b5ebc4a39、

Arbitrum合约地址：0xf401c6373a63c7a2ddf88d704650773232cea391、

Beosin安全团队分析发现攻击者(0xb687550842a24D7FBC6Aad238fd7E0687eD59d55)已把全部获得的代币兑换为相应平台币，目前被盗资金已全部转移到Tornado Cash中。Beosin Trace将对被盗资金进行持续追踪。[2022/10/12 10:31:31]

Beosin：Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道，Beosin 安全团队发现，在以太坊合并并分叉出 ETHW 后，Gnosis Omni Bridge跨链桥项目，由于合约代码中固定写死了chainID，而未真正验证当前所在链的chainID，导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH，随后将相同的交易内容在 ETHW 链上进行了重放，获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。

Beosin 安全团队建议如果项目方合约里面预设了chainID，请先手动将chainId更新，即使项目方决定不支持ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在ETHW链上更新。[2022/9/19 7:04:46]

相关资讯