Beosin: Un breve análisis del proyecto EthTeamFinance sufrió un ataque de vulnerabilidad.

[Beosin: el proyecto EthTeamFinance sufrió un ataque de vulnerabilidad] Según la detección de la plataforma de monitoreo y advertencia de seguridad Beosin EagleEye, el proyecto EthTeamFinance en la cadena ETH sufrió un ataque de vulnerabilidad. El contrato de ataque 0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4 no verificó el _id y los parámetros correctamente a través del función de migración del contrato LockToken Vulnerabilidades para actualizar ilegalmente los tokens WTH, CAW, USDC y TSUKA del grupo de liquidez V2 al grupo de liquidez V3, e interrumpir el precio de inicialización del grupo de liquidez V3 a través de sqrtPriceX96, obteniendo así una gran cantidad de arbitraje de reembolso Se arbitraron un total de más de 13 millones de dólares estadounidenses.

Otras noticias:

Beosin: un breve análisis del incidente de piratería del proyecto UVT. Todos los fondos robados se transfirieron a Tornado Cash: Jinse Finance informó que, según la plataforma de monitoreo y advertencia de seguridad Beosin EagleEye, el proyecto UVT fue pirateado y la cantidad involucrada fue 1,5 millones de dólares estadounidenses. La transacción de ataque es 0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

Después del análisis realizado por el equipo de seguridad de Beosin, se descubrió que el atacante utilizó primero el método 0xc81daf6e de otro contrato implementado por el desarrollador con permiso de Controlador, que llamaría al método 0x7e39d2f8 del contrato atacado. Debido a que el contrato tiene permiso de Controlador, fue transferido directamente a través de la verificación El equipo de seguridad de Beosin rastreó todos los tokens UVT en el contrato atacado a través de Beosin Trace, y se descubrió que todos los fondos robados se habían transferido a Tornado Cash. [2022/10/27 11:48:46]

Beosin: el proyecto Rabby fue pirateado, lo que implica una cantidad de alrededor de 200,000 dólares estadounidenses: Jinse Finance informó que, según Beosin EagleEye Web3, alerta temprana de seguridad y monitoreo de la plataforma de monitoreo, el proyecto Rabby fue pirateado. Debido a que existe una llamada externa a la función _swap de RabbyRouter, cualquiera puede llamar a esta función para transferir los fondos del usuario autorizado del contrato. En la actualidad, los atacantes han lanzado ataques a Ethereum, cadena BSC, polígono, avax, Fantom, optimista y Arbitrum, cancele la autorización del contrato correspondiente. Este es el contrato en cuestión:

Dirección del contrato BSC: 0xf756a77e74954c89351c12da24c84d3c206e5355,

Dirección del contrato de Ethereum: 0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1,

Dirección de contrato optimista: 0xda10009cbd5d07dd0cecc66161fc93d7c9000da1,

Dirección del contrato Avax: 0x509f49ad29d52bfaacac73245ee72c59171346a8,

Dirección del contrato Fantom: 0x3422656fb4bb0c6b43b4bf65ea174d5b5ebc4a39,

Dirección del contrato de arbitraje: 0xf401c6373a63c7a2ddf88d704650773232cea391,

El equipo de seguridad de Beosin analizó y encontró que el atacante (0xb687550842a24D7FBC6Aad238fd7E0687eD59d55) había intercambiado todos los tokens obtenidos por la moneda de la plataforma correspondiente, y todos los fondos robados se transfirieron a Tornado Cash. Beosin Trace hará un seguimiento de los fondos robados. [2022/10/12 10:31:31]

Beosin: el proyecto XaveFinance sufrió un análisis de ataque de piratas informáticos: Jinse Finance informó que, según el monitoreo de la plataforma Beosin EagleEye, el proyecto XaveFinance fue pirateado, lo que resultó en un aumento de 1,000 veces en RNBW. La transacción de ataque es 0xc18ec2eb7d41638d9982281e766945d0428aaeda6211b4ccb6626ea7cff31f4a. El equipo de seguridad de Beosin analizó y descubrió que el atacante primero creó el contrato de ataque 0xe167cdaac8718b90c03cf2cb75dc976e24ee86d3. El contrato de ataque llamó primero a la función executeProposalWithIndex() del contrato DaoModule 0x8f90 para ejecutar la propuesta. . Finalmente, el hacker lo convirtió en xRNBW y lo almacenó en la dirección del atacante (0x0f44f3489D17e42ab13A6beb76E57813081fc1E2). En la actualidad, los fondos robados todavía se almacenan en la dirección del atacante y Beosin Trace seguirá rastreando los fondos robados. [9/10/2022 12:50:38]