BSC:安全公司：Ankr黑客將盜取資金換成5500枚BNB和534萬枚USDC，約合700萬美元_Statizex

據安全公司CertiKAlert的推文，Ankr漏洞利用者0xf3a465地址將10萬億枚aBNBc兌換成5500枚BNB和534萬枚USDC。開發者地址仍然持有約60TaBNBc和約100BNB。

安全公司：CoFiXProtocol項目遭受價格操控攻擊，攻擊者獲利約14萬美元:據成都鏈安安全輿情監控數據顯示，CoFiXProtocol項目遭受價格操控攻擊。成都鏈安安全團隊對此次攻擊事件分析后，發現攻擊者先從先閃電貸借出大量BSC-USD，再用BSC-USD兌換出DCU。然后攻擊者通過利用Router合約的swapExactTokensForTokens沒有校驗to地址是否是msg.sender的漏洞，將對Router合約有大額授權的to地址中的BSC-USD經過BSC-USD -> DCU -> PRC的兌換路徑兌換為RPC，導致LP中DCU的價格升高，最后通過前面兌換的DCU重新高價兌換成BSC-USD從而獲利。目前攻擊者實施了三次攻擊，總計獲利約145,491 BSC-USD（價值14萬美元），已經兌換為BUSD并轉移到攻擊者的其他地址（0x5443...d7D6）中 。對此，成都鏈安安全團隊建議用戶在對合約授權時按需授權，授權值不要超過本次需要轉移的代幣的數量，避免因為過多授權造成意外損失。[2022/6/2 3:57:41]

到目前為止，900枚BNB已發送至TornadoCash，534萬枚USDC已發送至Bridges，370萬枚USDC至CelerNetworkcBridge，164萬枚USDC已發送至0xd1C5開頭地址。

安全公司：YFV項目勒索事件根本原因在于沒有做好上線前的代碼審計工作:今日早間，基于以太坊的一DeFi項目YFV發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。并表示，此次事件可能和不久前的“pool0”事件相關，勒索者極有可能是在“pool0”事件中未取回資金的“憤怒的農民”。

成都鏈安分析稱，合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，此函數中的 lastStakeTimes“stakeFor”= block.timestamp; 語句會更新用戶地址映射的laseStakeTimes“user”。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes“account”+72小時。

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。根據鏈上信息，我們找到了兩筆疑似攻擊的交易，兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。[2020/8/25]

此前消息，10萬億枚aBNBc被鑄造，疑似Ankr部署者密鑰被盜。派盾分析稱，Ankr被盜事件中，aBNBc代幣合約存在無限鑄幣漏洞，黑客可利用此漏洞繞過調用者驗證以獲得任意鑄造權限。

動態 | 瑞士安全公司公布輕錢包Icarus的審計結果 有3個安全問題:據cryptoglobe消息，近日瑞士安全公司Kudelski Security公布了Icarus的審計結果，稱其為“輕量級錢包的參考實例”，并列出了3個低嚴重的安全問題和11個一般代碼安全的審計結果。據悉，此前IOHK面向Cardano社區推出了輕量級錢包Icarus。[2018/10/20]

相關閱讀：鏈上分析Ankr被黑事件：10萬億枚aBNBc增發從何而來？

Tags：USDBNBSTABSCPieDAO USDtogetherbnb艾米莉攻略雙人互動StatizexMNTTBSC價格

ICP