安全團隊：EtnProduct項目遭受閃電貸攻擊_Curve:DEPO

8月5日，來自成都鏈安社區成員情報顯示，EtnProduct項目遭受閃電貸攻擊。成都鏈安安全團隊分析發現：攻擊者先利用閃電貸借入9,400個USDT，隨后攻擊者購買了一個NFT并把NFT掛入EtnProduct項目，由于在掛單時添加的流動性的代幣數量固定，以及把憑證幣發送給了調用者，攻擊者再銷毀憑證幣套出了流動性里606,091.527的U代幣，并調用UMarket項目的saleU函數把11,253.735個U代幣一比一轉換為USDT后歸還閃電貸，總共獲利約3,074美元和一個價值7,380美元的NFT，目前獲利資金仍然存放于攻擊者地址上。后續成都鏈安鏈上資金追蹤平臺“鏈必追”將對此地址進行持續監控和追蹤。

安全團隊：aBNBc代幣合約存在無限鑄幣漏洞:12月2日消息，派盾Peck Shield發推表示，Ankr被盜事件中，aBNBc代幣合約存在無限鑄幣漏洞，黑客可利用此漏洞繞過調用者驗證以獲得任意鑄造權限。[2022/12/2 21:17:23]

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

安全團隊：3DCion超跌過92%，請保持警惕:金色財經消息，據CertiK Alert數據監測，@3DCoin_io項目代幣3DC跌幅超過92%，地址為0x42d170aabd301026a16807da851dad54f7c86670，請保持警惕。[2022/8/23 12:42:20]

Tags：CURCurvePRODEPOcurve幣圈LP renBTC CurveOmni Consumer Protoco

KuCoin