Beosin: Un breve análisis del ataque al proyecto Skyward Finance

[Beosin: un breve análisis del ataque al proyecto Skyward Finance] Jinse Finance informó que, de acuerdo con el monitoreo de riesgos de seguridad Beosin EagleEye, la alerta temprana y el monitoreo de la plataforma de bloqueo de la empresa de auditoría de seguridad blockchain Beosin, el proyecto Skyward Finance en la cadena Near fue atacado por una vulnerabilidad. El análisis de Beosin encontró que debido a que la función redimir_skyward del contrato skyward.near no verificó correctamente el parámetro token_account_ids, el atacante 5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39 pasó en el mismo token_account_id y recibió recompensas WNear varias veces. Este ataque hizo que el proyecto perdiera cerca de 1,08 millones de Near, unos 3,2 millones de dólares. Beosin Trace trace descubrió que el atacante transfirió la cantidad robada.

Otras noticias:

Beosin: un breve análisis del ataque al proyecto sDAO: Jinse Finance informó que, de acuerdo con el monitoreo de riesgos de seguridad Beosin EagleEye, la alerta temprana y el monitoreo de la plataforma de bloqueo de la empresa de auditoría de seguridad blockchain Beosin, el proyecto sDAO en la cadena BNB fue atacado por una vulnerabilidad. El análisis de Beosin encontró que debido al error de lógica comercial del contrato sDAO, la función getReward se calcula en función de los tokens LP que posee el contrato y los tokens LP agregados por el usuario como parámetros. La recompensa calculada está positivamente relacionada con la cantidad de tokens LP agregados por el usuario, y está relacionada con el LP total que posee el contrato. La cantidad de tokens está correlacionada negativamente, pero el contrato proporciona un método de retiro del equipo, que puede enviar todos los BNB y tokens especificados que pertenecen al contrato. a la dirección especificada del contrato Esta función puede ser llamada por cualquier persona. Esta vez, después de que el atacante le agregó tokens LP, llamó a la función de retiro del equipo para enviar todos los tokens LP a la dirección especificada e inmediatamente transfirió una cantidad muy pequeña de tokens LP al contrato, lo que provocó que el atacante llamara Cuando getReward obtiene recompensas , el número total de tokens LP en el contrato utilizado es un valor muy pequeño, lo que hace que las recompensas se amplíen de manera anormal. Al final, la recompensa obtenida por el atacante a través de esta vulnerabilidad se convirtió en 13.662 BUSD y salió del mercado. Beosin Trace descubrió que el monto robado todavía está en la cuenta del atacante y continuará prestando atención a la dirección de los fondos. [2022/11/21 7:53:09]

Beosin: La dirección negra FTX Accounts Drainer ha llevado a cabo operaciones como intercambio y transferencia de grandes cantidades de activos a lo largo de la cadena: Jinse Finance informó que según el monitoreo de la plataforma de bloqueo, alerta temprana y monitoreo de riesgos de seguridad Beosin EagleEye empresa de auditoría de seguridad Beosin, para 2022 El 15 de noviembre, la dirección negra FTX Accounts Draer (0x59AB...32b) ha llevado a cabo operaciones como intercambio y transferencia de grandes activos a través de cadenas.

La mayoría de los fondos se encuentran actualmente en la plataforma ETH de la cuenta FTX Accounts Drainer, unos 228.523 ETH ($288.934.108) y 8.184 PAXG ($14.395.174). Alrededor de 108.454 BNB ($29.962.644) y 1.685.309 DAI ($1.686.562) en la plataforma BSC.

El resto de los fondos se encuentran en la cuenta FTX Accounts Drainer 2 en ETH, alrededor de 1999.4 PAXG ($3,516,404), alrededor de 499 PAXG ($878,114) en la cuenta FTX Accounts Drainer 3, alrededor de 499 PAXG ($878,114) en FTX Accounts Drainer 4 cuenta, los activos en otras cadenas no han cambiado todavía, y Beosin Trace continuará monitoreando los cambios de dirección negra. [2022/11/16 13:09:37]

Análisis | Advertencia de Beosin: Cierto contrato de juego está bajo ataque: Advertencia de Beosin (Chengdu Lianan): a partir de las 3:04 de esta tarde, según la detección del sistema de conciencia de la situación de seguridad de la cadena de bloques de Chengdu Lianan, Beosin-Eagle Eye, los piratas informáticos están llevando a cabo una ataque de vellón en el contrato de poker****. Después del análisis realizado por el equipo técnico de Chengdu Lianan, la cuenta del pirata informático implementó el contrato de ataque y, a través de una gran cantidad de notificaciones de error, el método de cálculo previo de los resultados de la lotería en el error continuó haciendo que una gran cantidad de subcuentas ganaran. premios Cada cuenta obtendrá 0.05EOS y transferirá las recompensas a la cuenta principal del atacante. Chengdu Lianan recuerda a todas las partes del proyecto que estén atentas, refuercen las precauciones de seguridad y se comuniquen con las empresas de seguridad para obtener servicios de seguridad cuando sea necesario para evitar pérdidas innecesarias de activos. [2019/5/23]