SIN:Beosin：sDAO 合約業務邏輯存在漏洞，攻擊者獲利超 1.3 萬 BUSD_Global Business Hub

根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，BNBChain上的sDAO項目遭受漏洞攻擊。Beosin分析發現sDAO合約的業務邏輯存在錯誤，getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的，計算的獎勵與用戶添加LP代幣數量正相關，與合約擁有總LP代幣數量負相關，但合約提供了一個withdrawTeam的方法，可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址，該函數任何人都可調用。

Beosin：Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示，Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊，Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押，該函數會為攻擊者鑄造等量的LP-USDC，隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中，然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額，_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限，利用該返回值通過borrow函數鑄造了大量USP（獲利點），由于攻擊者自身存在利用LP-USDC借貸的大量債務（USP），那么在正常邏輯下是不應該能提取出質押品的，但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題，僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP（借貸上限）而沒有檢查用戶是否歸還債務的情況下，使攻擊者成功提取出了質押品（4400萬LP-USDC）。歸還4400萬USDC閃電貸后， 攻擊者還剩余41,794,533USP，隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

而本次攻擊者向其中添加了LP代幣之后，調用withdrawTeam函數將LP代幣全部發送給了指定地址，并立刻又向合約轉了一個極小數量的LP代幣，導致攻擊者在隨后調用getReward獲取獎勵的時候，使用的合約擁有總LP代幣數量是一個極小的值，使得獎勵異常放大。最終攻擊者通過該漏洞獲利約13662枚BUSD。

區塊鏈安全公司Beosin宣布完成近2000萬美元A輪戰略融資:金色財經報道，區塊鏈核心安全服務廠商Beosin宣布完成近2000萬美元戰略融資，投資人為知名產業方，多家老股東跟投。Beosin是一家全球領先的區塊鏈安全公司，其核心業務包括智能合約安全審計，區塊鏈項目安全風險監控、預警與阻斷，被盜虛擬資產追回，KYT/AML等“一站式”安全產品+服務解決方案，目前已為全球2000多個區塊鏈企業服務，保護客戶資產高達5000多億美元。新資金將用于區塊鏈安全新技術研發，生態建設和全球市場布局。[2022/11/3 12:12:23]

Beosin：XaveFinance項目遭受黑客攻擊事件分析:金色財經報道，據Beosin EagleEye平臺監測顯示，XaveFinance項目遭受黑客攻擊，導致RNBW增發了1000倍。攻擊交易為0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a。Beosin安全團隊分析發現攻擊者首先創建攻擊合約0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3，該攻擊合約首先調用DaoModule合約0x8f90的executeProposalWithIndex()函數執行提案，提案內容為調用mint()函數鑄造100,000,000,000,000個RNBW，并將ownership權限轉移給攻擊者。最后黑客將其兌換為xRNBW，存放在攻擊者地址上（0x0f44f3489D17e42ab13A6beb76E57813081fc1E2）。目前被盜資金還存放在攻擊者地址，Beosin Trace將對被盜資金進行持續追蹤。[2022/10/9 12:50:38]

Tags：SINEOS區塊鏈USDGlobal Business HubDEOS幣區塊鏈幣排名FLUSD

波場