買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > TRX > Info

USD:安全團隊:PLTD項目遭受黑客攻擊,攻擊者共獲利24497枚BUSD_CAKE

Author:

Time:1900/1/1 0:00:00

據BeosinEagleEyeWeb3安全預警與監控平臺檢測顯示,PLTD項目遭受黑客攻擊,其交易池中的所有BUSD被全部兌空,攻擊者共獲利24,497枚BUSD。經過Beosin安全團隊分析,本次攻擊主要是利用了PLTD合約中的代碼漏洞,通過閃電貸攻擊將Cake-LP(0x4397c7)中的PLTD代幣余額降為1,然后用手中的PLTD將所有的BUSD全部兌換到攻擊合約中。具體細節如下:

第一步:攻擊者通過DODO協議的閃電貸發起了2次閃電貸借貸,同借貸66.6萬BUSD,作為攻擊準備金;第二步:攻擊者將66.6萬的BUSD全部兌換為157萬的PLTD代幣,此時,攻擊者手中已經持有的大量的PLTD代幣,后續將利用這些代幣達到操控Cake-LP中的PLTD代幣余額的目的;第三步:攻擊者查詢當前的bron值與Cake-LP的PLTD余額,這是在做攻擊前的檢查,注意這兩個值很關鍵,關系到攻擊的成敗;第四步:攻擊者直接向Cake-LP(0x4397c7)發送了11.6萬的PLTD代幣,注意,這個數量剛剛是上一步中Cake-LP中的PLTD代幣余額的兩倍減去1。第五步:攻擊者使用skim將第四步多轉入的PLTD取回,由于PLTD合約的transfer函數中,如果from地址是uniswapV2Pair,那么將會調用_tokenTransferBuy。第六步:前面所有的操作都是為了這一步做準備。這一步,攻擊者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae這個地址轉入1PLTD,由于這個地址不是Cake-LP的地址,這次轉賬調用的內部函數是_tokenTransfer這個內部函數,問題代碼在第451行到456行,由于第四步中,將_bron設置為了Cake-LP的余額減去1,并且在第五步恢復了Cake-LP的余額,這一步直接將Cake-LP的余額減至1(這里略去了通縮分紅型代幣的tAmount與rAmount轉換,這個轉換在本次攻擊中并不重要),然后再調用Cake-LP的sync函數,將余額同步為reserve。第七步:攻擊者將手中的所有PLTD代幣,全部兌換為BUSD,幾乎掏空了Cake-LP的全部BUSD余額,攻擊者獲得了69萬的BUSD。并將其中的66.6萬BUSD歸還閃電貸,剩余為本次攻擊獲利24,497BUSD,并全部轉入了0x083c057221e95D45655489Fb01b05C4806387C19地址,截止發文時,該資金未進行轉移。

安全團隊:約有440個地址接收到通過Tornado Cash發送的0.1枚ETH:金色財經報道,據派盾(PeckShield)監測,約有440個地址接收到通過Tornado Cash發送的0.1枚ETH。

此前消息,自Tornado Cash被制裁以來,有人正在將少量ETH從受制裁的Tornado Cash錢包發送到知名加密個人和名人的各種錢包。此舉似乎是對協議受到美國財政部海外資產控制辦公室(OFAC)打擊的某種抗議。[2022/8/10 12:15:54]

針對本次攻擊事件,Beosin安全團隊提出以下建議:1.在合約上線之前,項目方應尋找第三方安全公司進行完整的安全審計;2.在代幣合約中,直接操作Pair的代幣余額是非常危險的行為,建議項目方如非必要,千萬不要進行此操作。

安全團隊:Reaper Farm項目遭到攻擊事件解析,項目方損失約170萬美元:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Reaper Farm項目遭到黑客攻擊,成都鏈安安全團隊發現由于_withdraw中owner地址可控且未作任何訪問控制,導致調用withdraw或redeem函數可提取任意用戶資產。攻擊者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻擊合約(0x8162a5e187128565ace634e76fdd083cb04d0145)通過漏洞合約(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用戶資金,累計獲利62ETH,160萬 DAI,約價值170萬美元,目前攻擊者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通過跨鏈將所有獲利資金轉入Tornado.Cash,成都鏈安鏈必追平臺將對被盜資金進行實時監控和追蹤。[2022/8/2 2:54:19]

攻擊交易:0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0,

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”,慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊,但以太坊上智能合約不受影響,因為以太坊網絡Gas值尚在正常范圍內。目前,Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證,用戶需等待5秒才能訪問網站。據悉,5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

攻擊者地址:0x6ded5927f2408a8d115da389b3fe538990e93c5b

Tags:PLTCAKEBUSDUSDCPLT幣cake幣發行總量busd幣是什么幣AUSD

TRX
ALL:金融科技公司Plaid推出其首款Web3產品Wallet Onboard_BDC

以提供開放式銀行API而著稱的金融科技公司Plaid已經推出了WalletOnboard,作為其第一個web3產品.

1900/1/1 0:00:00
INFS:Web3時尚和生活方式平臺Yoloyolo完成350萬美元融資_WEB3Token

據CoinDesk報道,Web3時尚和生活方式平臺Yoloyolo完成350萬美元融資,ParaFiCapital、MiranaVentures、MorningstarVentures、Aval.

1900/1/1 0:00:00
DEFI:多鏈DAO構建器XDAO在BNB Chain上啟動學賺活動XDAO City Quest_PINETWORKDEFI

多鏈DAO構建器XDAO宣布已在BNBChain的支持下啟動一項大型教育學習賺錢活動。該活動稱為XDAOCityQuest,旨在幫助所有新手深入了解DAO主題,了解安全加密管理的優勢,并簡要回顧.

1900/1/1 0:00:00
CHA:公鏈項目Shardeum完成1820萬美元種子輪融資,Spartan Group等領投_ZDEX

據ForesightNews報道,公鏈項目Shardeum完成1820萬美元種子輪融資,JaneStreet、StruckCrypto、SpartanGroup、BigBrainHoldings.

1900/1/1 0:00:00
FTX:SBF:網傳的財務文件為謠言,FTX的財務經過審計_MED

FTX創始人SamBankman-Fried發推稱,“一堆毫無根據的謠言一直在流傳,FTX的財務經過審計,雖然它有時會減慢產品上的速度,但讓FTX受到高度監管.

1900/1/1 0:00:00
FTX:外媒:名人、投資者和美國政客紛紛刪除與SBF關系密切的證據_ripple幣行情

據Blockworks報道,在業內人士分析FTX倒閉帶來的日益嚴重的后果之際,知名人士紛紛悄悄抹去與FTX前首席執行官SamBankman-Fried一度關系密切的證據.

1900/1/1 0:00:00
ads